Комментарий к Федеральному закону "Об информации, информатизации и защите информации"
Анализ ФЗ «Об информации, информатизации и защите информации»
1. Функции Закона.
Основные функции закона:
- регулирование отношений возникающих при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;
- создании и использовании информационных технологий и средств их обеспечения;
- защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
2. Отношения регулируемые Законом
Настоящий Федеральный закон регулирует отношения, возникающие при:
- формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;
- создании и использовании информационных технологий и средств их обеспечения;
- защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
Закон не затрагивает отношений, регулируемых Законом Российской Федерации "Об авторском праве и смежных правах".
3. Понятия закрепленные Законом.
Данный закон подробно раскрывает следующие понятия:информация, информатизация, документированная информация (документ), информационные процессы, информационная система, информационные ресурсы, информация о гражданах (персональные данные), конфиденциальная информация, средства обеспечения автоматизированных информационных систем и их технологий, собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения, владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения, пользователь (потребитель) информации.
4. Определяющий смысл Закона.
Законом определяется государственная политика в сфере формирования информационных ресурсов и информатизации, и ее направлений. Например: создание и развитие федеральных и региональных информационных систем и сетей (Глава 2), обеспечение их совместимости и взаимодействия в едином информационном пространстве Российской Федерации, формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий (Глава 4), а также развитие законодательства в сфере информационных процессов (Глава 4), информатизации и защиты информации (Глава 5).
Закон определяет и правовой режим информационных ресурсов, который включает в себя: порядок документирования информации, право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах, категорию информации по уровню доступа к ней, порядок правовой защиты информации.
5. Сущностные аспекты Закона
5.1. Цифровая подпись
Согласно пункту 3 статьи 5 настоящего закона, юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.
Для признания электронной цифровой подписи необходимо наличие в автоматизированных информационных системах сертифицированных программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования. В п.4 ст.5. предусмотрено обязательное лицензирование деятельности, связанной с реализацией права удостоверять идентичность электронно-цифровой подписи. Еще предстоит разработка актов, регулирующих единый порядок лицензирования и сертификации в этой области.
Граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения обязаны представлять документированную информацию органам и организациям, ответственным за формирование и использование государственных информационных ресурсов.
5.2. Доступность информации
Пункт 2 статьи 6 Закона устанавливает, что физические и юридические лица являются собственниками тех документов, массивов документов, которые созданы за счет их средств, приобретены ими на законных основаниях, получены в порядке дарения или наследования.
Органы государственной власти и органы местного самоуправления создают доступные для каждого информационные ресурсы по вопросам деятельности этих органов и подведомственных им организаций, а также в пределах своей компетенции осуществляют массовое информационное обеспечение пользователей по вопросам прав, свобод и обязанностей граждан, их безопасности и другим вопросам, представляющим общественный интерес.
Комитет при Президенте Российской Федерации по политике информатизации организует регистрацию всех информационных ресурсов, информационных систем и публикацию сведений о них для обеспечения права граждан на доступ к информации (п.3 ст.13 Закона).
Перечень информационных услуг, предоставляемых пользователям из государственных информационных ресурсов бесплатно или за плату, не возмещающую в полном размере расходы на услуги, устанавливает Правительство Российской Федерации.
Государственные и негосударственные организации, а также граждане имеют равные права на разработку и производство информационных систем, технологий и средств их обеспечения (п.2 ст.16).
5.3. Лицензирование отдельных видов деятельности связанных с обработкой информации
Закон решает вопрос повышения качества, надежности средств защиты информации от несанкционированного доступа, а также ответственности организаций, производящих такие средства, устанавливая лицензирование такой деятельности: организации, разрабатывающие и производящие такие средства, должны получить лицензию на этот вид деятельности (п.3 ст.19).
Организации, выполняющие работы в области обработки персональных данных, также должны получать лицензию на такую деятельность. Это направлено на реализацию конституционных гарантий прав граждан на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (п.1 ст.23 Конституция РФ). Лицензирование такой деятельности дает возможность ее контроля компетентными органами и создает дополнительные условия для защиты персональных данных как информации конфиденциальной.
Создание средств защиты информации подлежит лицензированию в соответствии с Положением о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Ведение лицензионной деятельности в данной области поручено Федеральному агентству правительственной связи и информации при президенте РФ и государственной технической комиссии при Президенте РФ.
5.4. Право на защиту информации
Пункт 1 статьи 21 закона гласит, что защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу, и устанавливает режим защиты информации.
Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, осуществляется органами государственной власти в порядке, определяемом Правительством Российской Федерации.
Защита прав субъектов в сфере формирования информационных ресурсов, пользования информационными ресурсами, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.
Согласно п.2 ст.22, владелец информации при определении уровня ее защиты обязан руководствоваться законодательством РФ. Он имеет возможность пользоваться средствами специализированных органов в области информационной безопасности: ФАПСИ, Государственной технической комиссии РФ. Вместе с тем защита документированной информации не должна наносить ущерба ее собственнику и пользователям. Таким образом, самостоятельность владельца и собственника в данном случае также находится под контролем Закона.
5.5. Сертификация информационных систем
При обработке информации всегда существует угроза нанесения ущерба ее владельцу. Для снижения риска Закон предписывает использовать механизм сертификации информационных систем и средств защиты информации (ст.19), при этом ответственность за возникающий риск берет на себя орган сертификации. Эта ответственность может быть реализована в форме страхования или прямого возмещения понесенного ущерба. В том случае, если используются не сертифицированные информационные системы или средства защиты, то риск лежит на собственнике (владельце) этих систем и средств.
Пользователь, получивший информацию из не сертифицированных систем и знающий об этом, берет риск на себя. Однако владелец системы обязан предупредить пользователя об отсутствии у него сертификата.