Правовые аспекты понятия ИТ

Введение

Начнем с того, что в конце XX века человечество вступило в постиндустриальное или информационное общество, уникальное тем, что его характеризует быстрое развитие информационных и коммуникационных технологий. Умело распорядиться возможностями данных технологий могут члены общества, владеющие информационной культурой. Значение информации во всех сферах человеческой деятельности на современном этапе постоянно возрастает, что связано с изменением социально-экономического характера, появлением новейших достижений в области техники и технологии, результатами научных исследований. Развитие прогресса в науке и технике идет в направлении новых информационных технологий. 
Отметим, что информационная технология – это процесс, использующий совокупность средств и методов сбора, обработки и передачи данных для получения информации нового качества о состоянии объекта, процесса или явления. Цель информационной технологии — производство информации для ее анализа человеком и принятия на его основе решения по выполнению какого-либо действия. Внедрение персонального компьютера в информационную сферу и применение телекоммуникационных средств связи определили новый этап развития информационной технологии. Новая информационная технология — это информационная технология с «дружественным» интерфейсом работы пользователя, использующая персональные компьютеры и телекоммуникационные средства. Новая информационная технология базируется на следующих основных принципах: интерактивный (диалоговый) режим работы с компьютером, интегрированность с другими программными продуктами и гибкость процесса изменения данных и постановок задач. В качестве инструментария информационной технологии используются распространенные виды программных продуктов: текстовые процессоры, издательские системы, электронные таблицы, системы управления базами данных, электронные календари, информационные системы функционального назначения.
Но наряду с техническими и методологическими аспектами информационных технологий, очень важна и правовая сфера этого сегмента. По разным оценкам действующее российское законодательство, регулирующее отношения в информационной сфере, насчитывает от 70 до 500 нормативных актов, а в области информационной безопасности действует свыше 100 законов и более 150 подзаконных актов. Основополагающим правовым актом в информационной сфере является Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ. Однако есть множество разных документов, которые предполагают правовое регулирование сферы информационных технологий, отчего данная тема и является актуальной.
Целью работы является рассмотрение аспекта правовых основ понятия IT.
Задачи работы:
1. Изучить и систематизировать научно-методическую литературу по теме работы;
2. Представить общую характеристику информационных технологий;
3. Проанализировать Федеральный закон № 149 как один из основополагающих элементов правовых отношений в сфере IT;
4. Рассмотреть доктрину информационной безопасности РФ как важный источник права в российском сегменте IT;
5. Представить защиту персональных данных как парадигму IT-сегмента.


1. Общая характеристика концепта информационных технологий и их защиты
Информационные технологии - это процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.  В соответствии с Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах [13]: 
- свобода поиска, получения, передачи, производства и распространения информации любым законным способом; 
- установление ограничений доступа к информации только федеральными законами; 
- открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами; 
- равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации; 
- обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации; 
- достоверность информации и своевременность ее предоставления; 
- неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия; 
- недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами. 
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).  Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства [18]. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. В настоящее время, кроме государственной тайны, установлены следующие виды тайны:
- личная и семейная тайна (ч. 1 ст. 23 Конституции РФ) [1]; 
- тайна связи - тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи (ч. 2 ст. 23 Конституции РФ [1], ст. 63 Федерального закона № 126-ФЗ «О связи» [10]);
- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3 Федерального закона № 152-ФЗ «О персональных данных») [14];
- тайна усыновления (удочерения) ребенка (ст. 139 Семейного кодекса РФ) [13];
- тайна исповеди (п. 7 ст. 3 Федерального закона № 125-ФЗ «О свободе совести и о религиозных объединениях») [8];
- налоговая тайна - любые полученные налоговым органом, органами внутренних дел, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике, за исключением отдельных сведений, состав которых предусмотрен федеральным законом (ст. 102 Налогового кодекса РФ) [4]; 
- банковская тайна - сведения об операциях, счетах и вкладах клиентов и корреспондентов кредитных организаций, а также иные сведения, устанавливаемые кредитными организациями (ст. 26 Федерального закона № 395-1 «О банках и банковской деятельности») [6];
- адвокатская тайна - любые сведения, связанные с оказанием адвокатом юридической помощи своему доверителю (ст. 8 Федерального закона № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации») [9];
- аудиторская тайна - сведения об операциях аудируемых лиц и лиц, которым оказывались сопутствующие аудиту услуги, а также сведения и документы, получаемые и (или) составляемые аудиторскими организациями и индивидуальными аудиторами при осуществлении аудиторской деятельности (ст. 8 Федерального закона № 307-ФЗ «Об аудиторской деятельности») [16];
- тайна совершения нотариальных действия - сведения, которые стали известны нотариусу в связи с осуществлением его профессиональной деятельности (ст. 16 Основ законодательства РФ о нотариате № 4462-1) [22]; 
- врачебная тайна - информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении [22];  
- тайна страхования - полученные страховщиком в результате его профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц (ст. 946 Гражданского кодекса РФ) [2];
- коммерческая тайна - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны (ст. 3 Федерального закона № 98-ФЗ «О коммерческой тайне») [12];
- служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с федеральными законами (п. 3 Перечня сведений конфиденциального характера); 
- тайна совещания судей (ст. 194 Гражданского процессуального кодекса РФ, ст. 167 и 184 Арбитражного процессуального кодекса РФ, ст. 298 Уголовно-процессуального кодекса РФ) [5];  
- тайна совещания присяжных заседателей (ст. 341 Уголовно-процессуального кодекса РФ) [5]; 
- тайна предварительного расследования (ст. 161 Уголовно-процессуального кодекса РФ) [5].  
Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе [22]. 
Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных. 
В Российской Федерации распространение информации осуществляется свободно при соблюдении требований, установленных законодательством Российской Федерации. Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица. При использовании для распространения информации средств, позволяющих определять получателей информации, в том числе почтовых отправлений и электронных сообщений, лицо, распространяющее информацию, обязано обеспечить получателю информации возможность отказа от такой информации. Предоставление информации осуществляется в порядке, который устанавливается соглашением лиц, участвующих в обмене информацией. Запрещается распространение информации, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иной информации, за распространение которой предусмотрена уголовная или административная ответственность. 
Случаи и условия обязательного распространения или предоставления информации, в том числе предоставление обязательных экземпляров документов, устанавливаются федеральными законами. Федеральным законом № 77-ФЗ «Об обязательном экземпляре документов» предусмотрено, что обязательный экземпляр документов - экземпляры различных видов тиражированных документов, подлежащие передаче производителями в соответствующие организации в порядке и количестве, установленных федеральным законом [7]. 
Развитие информационных технологий и их внедрение в сферы деятельности значительной мере усовершенствуют и ускоряют многие процессы. Наличие информации, ее объемы, защищенность и доступность влияют на степень развития и благополучия каждой компании. С бурным развитием информационных технологий стремительно развиваются и вирусные программы, сети атак злоумышленников. Появляются угрозы, которые составляют опасность для конфиденциальности информации и ее технологий внутри организации. Данные факторы вызвали острую необходимость в защите информации и информационных технологий.  Для того, чтобы защитить информацию и информационные технологии от разнообразных угроз необходимо использовать комплексный подход к построению систем, обеспечивающих безопасность, как информации, так и информационных технологий [21]. 
Сегодня многие компании разрабатывают и создают комплексные защиты систем информационных технологий и информации, которые отличаются методами и способами защиты.  Среди самых популярных способов защиты информации и информационных технологий выделяют технический и криптографический способы защиты.  Комплексная защита информационных технологий и информации - это комплекс организационных и технических мероприятий и средств, которые направляются для того, чтобы обеспечить защиту информационным технологиям и информационным ресурсам от всевозможного несанкционированного доступа, разглашения и утечки. К организационным мероприятиям по обеспечению защиты информационных технологий и информации относят [21]:
1

. Составление должностных инструкций для обслуживающего персонала, который использует в процессе работы информационные технологии и информацию. 
2. Формирование правил управления, учета, хранения, распространения, уничтожения информационных технологий и информации, а также идентификации пользователей. 
3. Разработка плана действий в случае возникновения попыток несанкционированного использования информационных технологий и информации. 
4. Ознакомление с правилами безопасности всего персонала, который использует в работе информационные ресурсы и технологии. 
За организационные мероприятия защиты информационных технологий и информации отвечает служба информационной безопасности.  Мероприятия инженерно- технического характера - это комплекс специализированного технического оборудования, которые используется для защиты информационных технологий и информации. Данное оборудование выбирается в зависимости от необходимой степени защиты информационных средств и информации, которая создается на производстве.  Данные мероприятия служат надежным помощником в организации процесса защиты информационных технологий от несанкционированного и неправомерного доступа. 
В основе реактивного подхода к обеспечению информационной безопасности лежит принцип реагирования на угрозу, инцидент или попытку вторжения, такой принцип в технологиях защиты информации также называют «принципом чёрных списков». Иными словами, что не запрещено, то разрешено, а классификация и запрет вредоносной активности происходит уже после её обнаружения. Именно так работают антивирусы – за счёт работающих день и ночь антивирусных лабораторий и постоянной связи программ-клиентов с центральными серверами удаётся обеспечить относительно оперативное оповещение баз данных конечных пользователей о новом вредоносном коде [23]. 
К сожалению, такой подход к обеспечению информационной безопасности создаёт очевидную уязвимость среди всех пользователей антивирусных решений. Для того, чтобы вредоносный код был классифицирован и подготовлен к добавлению в антивирусные базы, он должен проявить себя и свою вредоносную активность. В лучшем случае это означает, что только первая волна распространения вредоносного аспекта заразит попавшие под удар компьютеры, после чего все остальные компьютеры будут с разной степенью оперативности защищены от новой угрозы. Это, конечно, будет слабым утешением для пользователей систем «первой волны», но с этим ничего поделать нельзя. Однако худший сценарий развития предполагает, что вредоносный код не будет обнаружен сразу же после первой успешной атаки [21]. 
Знаменитый червь Stuxnet, нанёсший серьёзный ущерб атомной программе Ирана, был обнаружен только после некорректной работы на компьютере, не имеющем к цели атаки никакого отношения, и лишь благодаря удачному стечению обстоятельств. Даже после обнаружения Stuxnet вирусным аналитикам потребовались месяцы, чтобы понять механизм работы червя, а некоторые элементы его жизненного цикла неизвестны до сих пор. Новейший троян для банкоматов Ploutus был зафиксирован лишь после неудачи в работе механизма самоуничтожения вредоносной программы, и между первой атакой на банкоматы и первым обнаружением прошло достаточно времени, чтобы полученный от трояна ущерб измерялся в миллионах долларов. Кроме того, некоторые версии вредоносных программ оснащаются специальным функционалом, направленным на отключение традиционных средств защиты, использующихся на заражаемой системе, и это создаёт дополнительные проблемы для реактивного подхода. 
Альтернативой реактивному подходу является проактивный подход в технологиях защиты информации, также называемый «принципом белых списков». Суть этого подхода – запрещено всё, что не разрешено. Проактивный принцип в технологиях защиты информации и обеспечения информационной безопасности требует больше внимания на стадии внедрения в систему, чем реактивный, но после правильной настройки защитного программного обеспечения не требует постоянных обновлений, благодаря чему трудозатраты на защиту информации при длительном использовании стремятся к нулю. Кроме того, подобная технология защиты информации позволяет защитить систему даже от неизвестных угроз, а значит, способна осуществить защиту критически важных объектов любой ИТ-инфраструктуры [21].
2. Федеральный закон № 149 как один из основополагающих элементов правовых отношений в сфере IT
Начнем с того, что данный Федеральный закон определяет информацию в качестве объекта правовых отношений. В частности, в ст. 5 отмечено, что информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.  Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
Информация в зависимости от порядка ее предоставления или распространения подразделяется на [13]: 
- информацию, свободно распространяемую; 
- информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 
- информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; 
- информацию, распространение которой в Российской Федерации ограничивается или запрещается. 
Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.  Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование. От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами. 
Обладатель информации, если иное не предусмотрено федеральными законами, вправе [13]: 
- разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; 
- использовать информацию, в том числе распространять ее, по своему усмотрению; 
- передавать информацию другим лицам по договору или на ином установленном законом основании; 
- защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; 
- осуществлять иные действия с информацией или разрешать осуществление таких действий. 
Обладатель информации при осуществлении своих прав обязан [13]:  
- соблюдать права и законные интересы иных лиц; 
- принимать меры по защите информации; 
- ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
Отметим также, что граждане (физические лица) и организации (юридические лица) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.  Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности. 
Не может быть ограничен доступ к [13]:  
- нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; 
- информации о состоянии окружающей среды; 
- информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); 
- информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
- иной информации, недопустимость ограничения доступа к которой установлена федеральными законами. 
Государственные органы и органы местного самоуправления обязаны обеспечивать доступ, в том числе с использованием информационно-телекоммуникационных сетей, в том числе сети «Интернет», к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения (часть дополнена с 1 января 2011 года Федеральным законом от 27 июля 2010 года № 227-ФЗ.
Решения и действия (бездействие) государственных органов и органов местного самоуправления, общественных объединений, должностных лиц, нарушающие право на доступ к информации, могут быть обжалованы в вышестоящий орган или вышестоящему должностному лицу либо в суд. В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.
Предоставляется бесплатно информация [13]: 
- о деятельности государственных органов и органов местного самоуправления, размещенная такими органами в информационно-телекоммуникационных сетях; 
- затрагивающая права и установленные законодательством Российской Федерации обязанности заинтересованного лица; 
- иная установленная законом информация. 
Установление платы за предоставление государственным органом или органом местного самоуправления информации о своей деятельности возможно только в случаях и на условиях, которые установлены федеральными законами. Государственное регулирование в сфере применения информационных технологий предусматривает [13]:  
- регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий (информатизации), на основании принципов, установленных Федеральным законом; 
- развитие информационных систем различного назначения для обеспечения граждан (физических лиц), организаций, государственных органов и органов местного самоуправления информацией, а также обеспечение взаимодействия таких систем; 
- создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети «Интернет» и иных подобных информационно-телекоммуникационных сетей;
- обеспечение информационной безопасности детей.
Государственные органы, органы местного самоуправления в соответствии со своими полномочиями [13]: 
- участвуют в разработке и реализации целевых программ применения информационных технологий;
- создают информационные системы и обеспечивают доступ к содержащейся в них информации на русском языке и государственном языке соответствующей республики в составе Российской Федерации. 
На территории Российской Федерации использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства Российской Федерации в области связи, настоящего Федерального закона и иных нормативных правовых актов Российской Федерации. Регулирование использования информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, осуществляется в Российской Федерации с учетом общепринятой международной практики деятельности саморегулируемых организаций в этой области