Среди различных методов защиты информации, особая роль отводится правовой защите. При всех своих возможностях и обязательности использования, физические и программно-технические способы защиты не смогут обеспечить безопасность информационных систем, если отсутствует адекватная правовая база, регламентирующая деятельность в информационной сфере. Под адекватной правовой базой понимается совокупность правовых норм, содержащихся в законах и других источниках, признаваемых государством, и являющихся общеобязательным критерием дозволенного, предписанного и запрещенного поведения пользователей информа-ционных технологий. Нарушение норм влечет юридическую ответственность: дисциплинарную, гражданскую, административную и уголовную.
К настоящему времени насчитывается свыше 1000 нормативных актов различного уровня, регулирующих правоотношения в области создания, распространения, обработки, хранения и использования информации и правоотношения в области создания и эксплуатации информационных систем.
Виды защищаемой информации.Статья 21 Закона РФ "Об информации, информатизации и защите информации" определяет, что защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Однако требования к системам защиты и нормы ответственности зависят от категории защищаемой информации. Закон подразделяет информацию по уровню доступа на следующие категории: общедоступная, открытая информация, информация о гражданах (персональные данные) и конфиденциальная информация. Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. В свою очередь, документированная информация с ограниченным доступом по условиям её защиты подразделяется на информацию, отнесённую к государственной тайне и конфиденциальную. К конфиденциальной информации относятся сведения, определяемые общим понятием — тайна. В действующих сегодня законах встречается 32 вида тайн. Это обстоятельство затрудняет применение норм права и вызывает противоречия при их применении. С целью упорядочения, сделана попытка, систематизировать перечень сведений, отнесённых к разряду конфиденциальных, подзаконным актом — Указом Президента РФ № 188 от 6.03.97 г.
Еще раз подчеркнем, что режим защиты различается в зависимости от категории информации по уровню доступа к ней. Так, в отношении сведений, отнесенных к государственной тайне, режим защиты устанавливается уполномоченными органами на основании Закона РФ «О государственной тайне». В отношении конфиденциальной документированной информации режим защиты устанавливается собственником этой информации на основании соответствующих законов.Так, согласно ст.139 Гражданского Кодекса РФ к коммерческой тайне относятся сведения, представляющие потенциальную ценность для её обладателя в силу неизвестности третьим лицам. Здесь же определено, что обладатель коммерческой тайны должен сам предпринимать меры к её сохранности. Поэтому, с точки зрения обладателя коммерческой тайны, необходимо обеспечить защиту как документированной, так и недокументированной информации.
Возникает вопрос - если обладатель коммерческой тайны сам должен обеспечить ее сохранность, в чем тогда заключается суть правовой защиты? Ответ на этот вопрос заключается в том, что законом предусмотрена юридическая ответственность (дисциплинарная, административная и уголовная) в случае нарушения порядка использования информации и информационных технологий, незаконный сбор и разглашение коммерческой тайны, нарушение системы защиты.
Так, Трудовой Кодекс РФ согласно ст. 81 п. в) предусматривает расторжение трудового договора по инициативе работодателя в случае разглашения работником охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.
Согласно Статье 13.14 Кодекса РФ об административных правонарушениях, разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц — от сорока до пятидесяти минимальных размеров оплаты труда.
В случае, если разглашение коммерческой или банковской тайны причинило ее обладателю крупный материальный ущерб, согласно ст. 183 Уголовного Кодекса РФ к лицу, виновному в совершении преступления, могут быть применены наказания от штрафа до двухсот минимальных зарплат и даже лишения свободы на срок до десяти лет.
Особенности защиты сведений, составляющих коммерческую тайну.По неофициальным оценкам сотрудников ФСБ России практически каждая крупная отечественная фирма крадет информацию у своих конкурентов и одновременно страдает от аналогичных действий с их стороны. Поэтому предприниматели должны обращать особое внимание на защиту коммерческой тайны. Прежде всего, необходимо определить какая информация требует защиты, выяснить возможные внешние и внутренние угрозы безопасности и разработать соответствующую угрозам систему защиты.
К информации, имеющей коммерческую значимость, относят сведения о количестве выпускаемой продукции и объемах продаж, сведения о поставщиках и производителях, продавцах и дилерах, договорах и клиентах. Планы фирмы, предельные цены, себестоимость продукции, имена и адреса сотрудников, маркетинговые и аналитические исследования. Финансовое состояние фирмы, размеры оплаты труда, денежный наличный оборот, особенно каналы движения денежной массы.
Для обеспечения режима коммерческой тайны весьма важными являются организационно-правовые меры. Прежде всего, должен быть организован конфиденциальный документооборот. Каждый документ, содержащий сведения, отнесенные к коммерческой тайне должен иметь соответствующий гриф (конфиденциально, КТ и т.п.). Гриф «секретно» используется только для документов, содержащих сведения, относимые к государственной тайне. Должен быть определен круг лиц, которые имеют доступ к соответствующим документам и базам данных, разработаны правила разграничения доступа в информационную систему, порядок хранения, учета и уничтожения материальных носителей, заведен журнал учета движения конфиденциальных документов.
Кроме того, при приеме на работу, с будущими сотрудниками проводится соответствующий инструктаж, а в контракте (заявлении о приеме на работу) должны быть предусмотрены соответствующие пункты о неразглашении конфиденциальных сведений.