Информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Правовой основой защиты информации является Федеральный закон от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации».
Важнейшими терминами, которые вводятся этим Законом, являются понятия документированной информации, конфиденциальной информации и персональных данных граждан.
Документированной информацией (документом) является зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.
Документирование информации является обязательным условием включения информации в информационные ресурсы. Документирование информации осуществляется в порядке, устанавливаемом органами государственной власти Российской Федерации, ответственными за организацию делопроизводства, стандартизацию документов и их массивов и обеспечение безопасности. Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания полномочным должностным лицом. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью, юридическая сила которой признаётся при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи и соблюдение установленного режима их использования.
Граждане, юридические лица, органы государственной власти и органы местного самоуправления обязаны предоставлять документированную информацию органам и организациям, ответственным за формирование и использование государственных информационных ресурсов. Перечни предоставляемой в обязательном порядке документированной информации и перечни органов и организаций, ответственных за сбор и обработку федеральных информационных ресурсов утверждаются Правительством РФ. Порядок и условия обязательного предоставления документированной информации доводятся до сведения граждан и юридических лиц.
Государственные информационные ресурсы РФ являются открытыми и общедоступными. Исключение составляет документированная информация, отнесённая законом к категории ограниченного доступа.
Документированная информация с ограниченным доступом по условиям её правового режима подразделяется на информацию, отнесённую к государственной тайне, и конфиденциальную информацию.
Конфиденциальная информация – это документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. Порядок обязательного предоставления (получения) информации, отнесённой к государственной тайне, и конфиденциальной информации устанавливается и осуществляется в соответствии с законодательством об этих категориях информации.
При этом ст.10 Федерального закона «Об информации, информатизации и защите информации» запрещает относить к информации с ограниченным доступом:
а) законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
б) документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населённых пунктов, производственных объектов, безопасности граждан и населения в целом;
в) документы, содержащие информацию о деятельности органов государственной власти и местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, отнесённых к государственной тайне;
г) документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти и местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Информация о гражданах (персональные данные) – это сведения о событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Персональные данные относятся к конфиденциальной информации, перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов РФ, органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Не допускается сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации свобод граждан РФ. Ограничение прав граждан РФ на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается законом. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу, пользователю и иному лицу; защита прав субъектов в сфере формирования информационных ресурсов, пользования информационными ресурсами, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причинённого ущерба.
Целями защиты информации являются:
а) предотвращение утечки, хищения, утраты, искажения, подделки информации;
б) предотвращение угроз безопасности личности, общества и государства;
в) предотвращение несанкционированных действий по уничтожению, модификации, искажению, кодированию, блокированию информации, других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта права собственности;
г) защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
д) сохранение государственной тайны и конфиденциальности документированной информации;
е) обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Права и обязанности субъектов в области защиты информации установлены ст.22 Федерального закона «Об информации, информатизации и защите информации».
Собственник документов, массива документов, информационных систем или уполномоченные им лица устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.
Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации, установленный законодательством РФ.
Риск, связанный с использованием не сертифицированных информационных систем и средств их обеспечения, лежат на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из не сертифицированной системы, лежит на потребителе информации. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его систем и ресурсов и получения профессиональных консультаций.
Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и информационных систем обо всех фактах нарушения режима защиты информации.
Федеральный закон «Об информации, информатизации и защите информации» закрепляет также защиту прав на доступ к информации.
Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке. Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понесённого ими ущерба.
Суд рассматривает споры о необоснованности отнесения информации к категории информации с ограниченным доступом, иски о возмещении ущерба в случаях необоснованного отказа в предоставлении информации пользователям или в результате других нарушений прав пользователей.
Руководители и служащие органов государственной власти и управления, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательствами и законодательством об административных правонарушениях.