Комментарии 56
Статья правильная, автор молодец. Я вот и сам не так давно думал по этому поводу. И пришел к выводу, что если никто ничего ломать не будет и не будет красть информацию и ломать сайты, то через несколько лет все забудут про защиту и какой нибудь маленький мальчик может все сломать за одну ночь. Так что хакеры, крякеры и все другие ломатели это не зло, а необходимость, которая помогает защищать информацию в будущем.
Видимо, я со своим несколько «зашоренным» языком не смог ясно донести мысль по тексту.
Смысл не в том, что кто то будет ломать или нет, на мой взгляд, это не стоит даже обсуждать, это вечный процесс. Я лишь хотел сказать, при самом примитивном Инциденте, «копеечным» по последствиям, для облачения его в рамки УК РФ, требуется замах и удар на «рубль». Хотя и так во многих случаях после проведения первичных оперативно-розыскных мероприятий становиться понятно кто виноват, а доказать, наказать не позволяет законодательство, или это стоит: полгода зарплаты оперативника и следователя.
Смысл не в том, что кто то будет ломать или нет, на мой взгляд, это не стоит даже обсуждать, это вечный процесс. Я лишь хотел сказать, при самом примитивном Инциденте, «копеечным» по последствиям, для облачения его в рамки УК РФ, требуется замах и удар на «рубль». Хотя и так во многих случаях после проведения первичных оперативно-розыскных мероприятий становиться понятно кто виноват, а доказать, наказать не позволяет законодательство, или это стоит: полгода зарплаты оперативника и следователя.
Да, бюрократическая машина «зло», но начинание мне кажется очень не плохое, очень хорошо бы, чтобы умные люди довели бы его до ума. И я немного не понимаю, чему вы собственно удивляетесь, приезжайте к нам в Минск, например, у нас дыр в законодательстве ещё больше, а бюрократический аппарат наверное ещё более раздут, чем ваш и здесь вы можете столкнуться с куда более идиотскими случаями с куда более простыми вещами, чем «Информационная безопасность».
Вот, кстати, Закон РБ Об информации, информатизации и защите информации. К своему стыду хочу сказать, что до сегодняшнего дня ни разу не интересовался этим законом и не могу вспомнить ни одного случая, использования этого закона у нас, хотя бы даже в новостях. Может кто-то более сведующий просвятит, как обстоят дела в РБ с этим?
Я согласен, чему я удивляюсь, но за 10 лет работы я не вижу прогресса в развитии законодательства, реального принципиального скачка вперед, и тем более, я не вижу прогресса в развитии следствия по вопросам из сферы ИТ. Наша система застряла в конце 90-х, весь прогрессивный мир движется в «облака», а за примитивными Инцидентами не следует уголовное, либо другое, в рамках Закона, преследование. Обратите внимание, к вредоносным программам в обществе, в общем, пусть это звучит и голословно с моей стороны, но отношение как «вирусам» гриппа, будто руки не помыл перед обедом, потому и дизентерия. Меня разорвало на части, когда я читал новость про «вирус» уничтоживший видеоматериал с ДТП со служителем РПЦ с камер наблюдения, а порвало мой мозг то, что я не слышал и не читал о последующем возбуждении или проведения проверки по ст. 273 УК РФ. То есть, фактически, камеры подхватили «вирус», «чихнули», данные сами затерлись. Вот, что меня напрягает.
Регулятора, меры, консалтинг структур по информационной безопасности имеет лишь один основной вектор защиты — от Государства в лице Роскомнадзора и его проверок «на соответствие...», и лишь вторично направлен непосредственно на безопасность персональных данных.
Совершенно верно. Это тем более актуально, что штрафы за нарушение в сфере ПД, хотят поднять.
А если организация хочет реальной безопасности, она использует соотвествующее ISO, где все конкретно прописанно, как и что защищать. А мутная и расплывчатая водица, что в законах типа 152, помочь делу никак не может.
И понятно, что не все так просто, более того, доказыванию подлежит факт неправомерного доступа к именно охраняемой законом информации, то есть если на носителе, к которому был доступ, содержится множество файлов, структур данных— и ведь не все из данных будут охраняться законом, и доказать следователю надо будет, что именно к охраняемым законом осуществлен неправомерный доступ.
Совершенно верно. По закону, охраняемая комм. тайна должна быть помеченна грифом КТ по установленному образцу, с адресом правообладателя. Закон расчитан на бумажные документы и другие подобные материальные носители.
Так как гриф налепить на виртуальную базу, например 1с и все ее формы невозможно, гриф лепят на сервак и на жесткие диски.
Насколько такой подход убедит суд или следователя (который как правило негласно вертит судом), понять сложно. Но иного варианта нет.
Совершенно верно. Это тем более актуально, что штрафы за нарушение в сфере ПД, хотят поднять.
А если организация хочет реальной безопасности, она использует соотвествующее ISO, где все конкретно прописанно, как и что защищать. А мутная и расплывчатая водица, что в законах типа 152, помочь делу никак не может.
И понятно, что не все так просто, более того, доказыванию подлежит факт неправомерного доступа к именно охраняемой законом информации, то есть если на носителе, к которому был доступ, содержится множество файлов, структур данных— и ведь не все из данных будут охраняться законом, и доказать следователю надо будет, что именно к охраняемым законом осуществлен неправомерный доступ.
Совершенно верно. По закону, охраняемая комм. тайна должна быть помеченна грифом КТ по установленному образцу, с адресом правообладателя. Закон расчитан на бумажные документы и другие подобные материальные носители.
Так как гриф налепить на виртуальную базу, например 1с и все ее формы невозможно, гриф лепят на сервак и на жесткие диски.
Насколько такой подход убедит суд или следователя (который как правило негласно вертит судом), понять сложно. Но иного варианта нет.
Гриф КТ лепить на жесткий диск и уже на нем держать всю подобную информацию, т.к. «нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну с указанием обладателя такой информации (для юридических лиц — полное наименование и место нахождения)». Дело не хитрое, интересно то, что четыре пункта, которые нужно выполнить.
Да хотя бы минимум, приказ, распоряжение по предприятию о наличии таковой информации.
Боюсь, не все так просто, если въедливо читать закон «О коммерческой тайне»…
Статья 10:
1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
[...]
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации [...].
2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи.
То есть для юридического признания информации коммерческой тайной необходимо выполнить все пять мер. А теперь объясните мне, куда наносить гриф, если данные содержатся в SQL-базе в облаке (в лучшем случае приватном, в общем случае — публичном типа Windows Azure)? При этом копия данных создается в оперативной памяти и на жестком диске клиентской машины (т.е. несанкционированный доступ возможен не только путем взлома самой базы, но и, например, анализа временных файлов)?
Статья 10:
1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
[...]
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации [...].
2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи.
То есть для юридического признания информации коммерческой тайной необходимо выполнить все пять мер. А теперь объясните мне, куда наносить гриф, если данные содержатся в SQL-базе в облаке (в лучшем случае приватном, в общем случае — публичном типа Windows Azure)? При этом копия данных создается в оперативной памяти и на жестком диске клиентской машины (т.е. несанкционированный доступ возможен не только путем взлома самой базы, но и, например, анализа временных файлов)?
«Целью настоящего Федерального закона [152-ФЗ „О персональных данных“] является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну» — собственно, на этом абзаце по большому счету и закончилась защита прав и свобод, а началась защита персональных данных.
Впрочем, 152-ФЗ можно критиковать бесконечно. Достаточно определения «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», из которого ни разу не ясно, какие же данные относятся к персональным (в предыдущей редакции закона хотя бы перечень был… открытый...). Плюс к этому определению стоит добавить понятие обезличенных персональных данных, которые вроде как персональными быть не могут (не относятся к определенному / определяемому лицу), но все же являются ими.
А если организация хочет реальной безопасности, она использует соотвествующее ISO, где все конкретно прописанно, как и что защищать. А мутная и расплывчатая водица, что в законах типа 152, помочь делу никак не может.
И тут же нарывается на невменяемые нормативные требования, в том числе по использованию только сертифицированных средств защиты, которые ни разу не совместимы с ISO. Например, на сертифицированную версию Windows нельзя поставить обновление, пока оно не пройдет определенные проверки, иначе формально можете попрощаться с сертификатом. О скорости обновления иных продуктов на рынке отечественной безопасности лучше вообще молчать.
Впрочем, 152-ФЗ можно критиковать бесконечно. Достаточно определения «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», из которого ни разу не ясно, какие же данные относятся к персональным (в предыдущей редакции закона хотя бы перечень был… открытый...). Плюс к этому определению стоит добавить понятие обезличенных персональных данных, которые вроде как персональными быть не могут (не относятся к определенному / определяемому лицу), но все же являются ими.
А если организация хочет реальной безопасности, она использует соотвествующее ISO, где все конкретно прописанно, как и что защищать. А мутная и расплывчатая водица, что в законах типа 152, помочь делу никак не может.
И тут же нарывается на невменяемые нормативные требования, в том числе по использованию только сертифицированных средств защиты, которые ни разу не совместимы с ISO. Например, на сертифицированную версию Windows нельзя поставить обновление, пока оно не пройдет определенные проверки, иначе формально можете попрощаться с сертификатом. О скорости обновления иных продуктов на рынке отечественной безопасности лучше вообще молчать.
3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
Выполнение этого пункта разве недостаточно, чтобы считать информацию, охраняемой законом?
А вообще, имхо, самое сложное в компьютерный преступлениях это убедительная идентификация лица, совершившего деяние, постфактум. Пускай техническими методами однозначно доказано, что «преступный» пакет отправлен с моего компа. Как доказать, что отправка была сознательно инициирована кем-то тоже с него, и что именно я был этим кем-то? У меня может стоять какое-то средство удаленного управления, равно как за моим компьютером могу сидеть не я. У меня даже нет обязанности обеспечивать разумными мерами неиспользование моего компа третьими лицами в противоправных целях. Я не обязан ставить антивирусы и файерволы, паролить аккаунты и/или запрещать анонимный доступ и физически не допускать за него родственников, друзей, знакомых и даже незнакомых.
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
Выполнение этого пункта разве недостаточно, чтобы считать информацию, охраняемой законом?
А вообще, имхо, самое сложное в компьютерный преступлениях это убедительная идентификация лица, совершившего деяние, постфактум. Пускай техническими методами однозначно доказано, что «преступный» пакет отправлен с моего компа. Как доказать, что отправка была сознательно инициирована кем-то тоже с него, и что именно я был этим кем-то? У меня может стоять какое-то средство удаленного управления, равно как за моим компьютером могу сидеть не я. У меня даже нет обязанности обеспечивать разумными мерами неиспользование моего компа третьими лицами в противоправных целях. Я не обязан ставить антивирусы и файерволы, паролить аккаунты и/или запрещать анонимный доступ и физически не допускать за него родственников, друзей, знакомых и даже незнакомых.
убедительная идентификация лица— к сожалению, в 90% случаях только «косвенными» фактами, или обнаружением на ЭВМ «жулика» данных о похищенной информации.
Мне в рамках Инцидента по 273 УК РФ следователь на полном серьезе предлагал разработать план по установке камеры на деревьях напротив окна «жулика». Для того, чтоб потом сопоставить фиксированное время работы «трояна» и нахождение «жулика» у своей ЭВМ дома.
НЛО прилетело и опубликовало эту надпись здесь
Неквалифицированные админы работают потому, что это устраивает их работодателя. Будет утечка, последует увольнение — это и есть возможная мера наказания. Если не последует, то собственник сам халатно относится к своему «имуществу» и поделом ему.
Ну вообще-то их вполне можно вздрючить…
Закон «О коммерческой тайне», статья 3 (основные понятия), часть 9:
«Разглашение информации, составляющей коммерческую тайну, — действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору».
УК РФ, статья 183 (незаконное получание и разглашение сведений), часть 2 (также части 3 и 4 для крупного ущерба и тяжких последствий):
«Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, — наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до трех лет».
Таким образом, необходимо доказать два факта. Во-первых, что безопасникам эта информация была доверена (соответствующий пункт в должностнях обязанностях, роспись об ознакомлении на перечне сведений, отнесенных к КТ). Во-вторых, что именно их бездействие привело к ознакомлению третьих лиц с информацией, отнесенной к КТ. Если доказали — привлекайте по 183 УК РФ.
Закон «О коммерческой тайне», статья 3 (основные понятия), часть 9:
«Разглашение информации, составляющей коммерческую тайну, — действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору».
УК РФ, статья 183 (незаконное получание и разглашение сведений), часть 2 (также части 3 и 4 для крупного ущерба и тяжких последствий):
«Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, — наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до трех лет».
Таким образом, необходимо доказать два факта. Во-первых, что безопасникам эта информация была доверена (соответствующий пункт в должностнях обязанностях, роспись об ознакомлении на перечне сведений, отнесенных к КТ). Во-вторых, что именно их бездействие привело к ознакомлению третьих лиц с информацией, отнесенной к КТ. Если доказали — привлекайте по 183 УК РФ.
По-моему маловато будет этих двух фактов. Нужен ещё третий, субъективный — умысел, легкомыслие или небрежность. Как минимум, доказать факт того, что он мог предотвратить утечку. Не абстрактно, что мог, например, пропатчить код ОС и не пропатчил (как его может пропатчить любая обезьяна в теории), а что обладает необходимыми знаниями и умениями и должен был их применить, чтобы оперативно устанавливать обновления. Подобным доказательством может служить диплом о профессиональном образовании в области защиты информации, или, хотя бы, что слушал курс о защите информации при обучении на другой специальности. А вот если взяли на работу того, кто такой курс не слушал, то тут вопросы больше к тому, кто взял, по-моему.
Видно автора тема очень волнует. Скажите, а анализ правоприменительной практики за последние годы кем-то проводился? Я не к тому, что со статьей что-то не так, а к тому, что же делать? Предлагаю автору проявить гражданскую инициативу, обединиться и постараться поднять этот вопрос уже на другом уровне — хотя бы обратиться в Минкомсвязь.
Автор много говорит про чопорность следствия — это личный опыт, знакомый следак («но не факт, что здравомыслящий») рассказывал или знакомы-знакомого-знакомого?
Про охраняемую инофрмацию хочу отметить, что отталкиваться нужно от ФЗ Об информации, а не указа президента. Тогда согласно ч. 3 ст. 6 149-ФЗ «Обладатель информации… вправе… ограничивать доступ к информации, определять порядок и условия такого доступа» — похоже на охраняему информацию? По мне — да, хотя я не слежу за судебной практикой и могу ошибаться. Получается обладатель информации должен ввести необходимые организационно-технические меры, составить перечень защищаемой информации и полдела сделано.
В целом, нужно усиливать систему защиты, чтобы не было «коеечных» вломов из-за которых вразы много волокиты, нежели ущерба. Получается надо ругать не оперов, а своих админов и безопасников.
Автор много говорит про чопорность следствия — это личный опыт, знакомый следак («но не факт, что здравомыслящий») рассказывал или знакомы-знакомого-знакомого?
Про охраняемую инофрмацию хочу отметить, что отталкиваться нужно от ФЗ Об информации, а не указа президента. Тогда согласно ч. 3 ст. 6 149-ФЗ «Обладатель информации… вправе… ограничивать доступ к информации, определять порядок и условия такого доступа» — похоже на охраняему информацию? По мне — да, хотя я не слежу за судебной практикой и могу ошибаться. Получается обладатель информации должен ввести необходимые организационно-технические меры, составить перечень защищаемой информации и полдела сделано.
В целом, нужно усиливать систему защиты, чтобы не было «коеечных» вломов из-за которых вразы много волокиты, нежели ущерба. Получается надо ругать не оперов, а своих админов и безопасников.
Автор много говорит про чопорность следствия — это личный опыт, знакомый следак («но не факт, что здравомыслящий») рассказывал или знакомы-знакомого-знакомого?— в случае Инцидента, наличия значимой информации о злоумышленнике, тогда, это практически каждодневный прямой контакт со следователем, разными следователями. Выделенные цитаты о составе, информации — это выдержки из документов этих следователей.
Тогда согласно ч. 3 ст. 6 149-ФЗ «Обладатель информации… вправе… ограничивать доступ к информации, определять порядок и условия такого доступа» — похоже на охраняемую информацию?— да, похоже, но похоже лишь на охраняемую Вами, а не Законом.
Получается обладатель информации должен ввести необходимые организационно-технические меры, составить перечень защищаемой информации и полдела сделано.— сначала классификация информации, а потом, исходя из ее характера (коммерческая либо другая), принять меры в соответствии с законодательством в отношении именно этой информации, и только тогда почти все хорошо.
Предлагаю автору проявить гражданскую инициативу, обединиться и постараться поднять этот вопрос уже на другом уровне — хотя бы обратиться в Минкомсвязь.— увы, в силу обстоятельств непреодолимой силы, не могу.
Получается надо ругать не оперов, а своих админов и безопасников.— еще юристов, бухгалтеров. Я серьезно, как-то запомнились мне один раз печальные глаза бухгалтера с ЗП около 30-40 тысяч рублей, и налитые кровью глаза директора, когда трояном для ДБО (грубо сказал, но понятно), у компании безвозвратно похитили чуть более 5 млн. рублей. Одна из причин, бухгалтер ушел на обед, оставив флэшку с ключами для ДБО примонтированной.
1. И что было дальше с этим бухгалтером? Привлечь работника к материальной ответственности можно, только если он своими действиями причинил работодателю прямой ущерб. Тут это нет. Неприятность и только.
2. Если машину протроянили, с доступом на уровне ядра, то и ключи извлечь вполне реально с «флешки». В интернетах есть примеры.
3. Для этого и нужен комплекс не только технических, но и административных мер. Например у нас товарищи бухгалтеры допускаемые к ДБО проходят специальный инструктаж, получают инструкцию и памятку на руки по обращению с ключами и оборудованием. Расписываются за получение инструкции. А затем, тк как человек существо забывчивое и наивное, получают по плану бодрящую порцию страшилок.
2. Если машину протроянили, с доступом на уровне ядра, то и ключи извлечь вполне реально с «флешки». В интернетах есть примеры.
3. Для этого и нужен комплекс не только технических, но и административных мер. Например у нас товарищи бухгалтеры допускаемые к ДБО проходят специальный инструктаж, получают инструкцию и памятку на руки по обращению с ключами и оборудованием. Расписываются за получение инструкции. А затем, тк как человек существо забывчивое и наивное, получают по плану бодрящую порцию страшилок.
Что было дальше с бухгалтером я не интересовался. Ключи были в виде файлов на флэшке, доступа к ядру не надо, обычный, несколько модифицированный RAT (remote admin tool) был. После череды подобных Инцидентов, я как то зашел в гости к своему знакомому, владельцу предприятия, рассказал ему о участившихся случаях краж через ДБО. Он при мне собрал всех руководителей провел ликбез. Те подчиненных «прострашили». Через неделю у них похитили через ДБО около 300 тыс. рублей. Успели, деньги вернули через неделю. Это при том, что контора специализируется на ИТ сфере уже лет 15.
Случайно наткнулся на это обсуждение, поэтому будет некропост.
Вообще-то, если обладатель информации ограничивает доступ к собственной информации, то такая информация автоматически начинает охраняться законом (за исключением случаев, когда ограничение доступа к определенной категории информации запрещено федеральным законом).
Обоснование следующее. В ФЗ «Об информации...» в п. 1 ч. 3 ст. 6, в ч. 2 ст. 9 и в ч. 2 ст. 17 используется одно и то же понятие — ограничение доступа к информации (и его производное: информация ограниченного доступа). И никакого разделения на охраняемую и неохраняемую информацию в данном контексте в законе нет — закон просто предписывает защищать в судебном порядке информацию ограниченного доступа! Так зачем создавать новые сущности, которых в букве закона нет?
Разумеется, можно сказать, что доступ к информации может быть ограничен только федеральными законами (п. 2 ст. 3 ФЗ «Об информации...»), но в таком случае следует заявить и то, что п. 1 ч. 3 ст. 6 указанного ФЗ не существует. Но этот пункт существует, поэтому толковать нормы закона нужно системно. И такое толкование п. 2 ст. 3 ФЗ «Об информации...» одно: обязать обладателя информации ограничивать к ней доступ может только федеральный закон.
Тогда согласно ч. 3 ст. 6 149-ФЗ «Обладатель информации… вправе… ограничивать доступ к информации, определять порядок и условия такого доступа» — похоже на охраняемую информацию?
— да, похоже, но похоже лишь на охраняемую Вами, а не Законом.
Вообще-то, если обладатель информации ограничивает доступ к собственной информации, то такая информация автоматически начинает охраняться законом (за исключением случаев, когда ограничение доступа к определенной категории информации запрещено федеральным законом).
Обоснование следующее. В ФЗ «Об информации...» в п. 1 ч. 3 ст. 6, в ч. 2 ст. 9 и в ч. 2 ст. 17 используется одно и то же понятие — ограничение доступа к информации (и его производное: информация ограниченного доступа). И никакого разделения на охраняемую и неохраняемую информацию в данном контексте в законе нет — закон просто предписывает защищать в судебном порядке информацию ограниченного доступа! Так зачем создавать новые сущности, которых в букве закона нет?
Разумеется, можно сказать, что доступ к информации может быть ограничен только федеральными законами (п. 2 ст. 3 ФЗ «Об информации...»), но в таком случае следует заявить и то, что п. 1 ч. 3 ст. 6 указанного ФЗ не существует. Но этот пункт существует, поэтому толковать нормы закона нужно системно. И такое толкование п. 2 ст. 3 ФЗ «Об информации...» одно: обязать обладателя информации ограничивать к ней доступ может только федеральный закон.
Много букв, я, может быть не столь ясно выразил свою мысль. Посыл был такой — «следователь», который принимает решение, возбуждать дело и его расследовать или нет, задает вопрос — информация охранялась законом? почему охранялась законом? соблюдены ли меры и требования законодательства в отношении этой информации для того, чтоб она стала охраняемой. Если обладатель думает, что его информация охраняется, но не предпринял шаги, которые я размыто и уклончиво привел в статье, то не факт, что охраняется по закону, и не факт, что это будет та самая информация, про которую пишут в УК РФ.
информация охранялась законом? почему охранялась законом?
Допустим, что информация к охраняемой федеральным законом тайне не относится (т. е. не является государственной, коммерческой, врачебной, адвокатской и любой другой тайной). Также информация не относится к персональным данным и иным сведениям, в отношении которых соответствующим федеральным законом установлено обязательное условие соблюдения конфиденциальности. Также в отношении информации федеральным законом не установлен запрет на ограничение доступа.
Тогда ответы на вопросы следующие (от первого лица):
Т. к. федеральный закон не обязывает меня, как обладателя и создателя информации, ограничивать к ней доступ, а также не запрещает мне ограничивать к ней доступ, то я вправе ограничить доступ к такой информации самостоятельно на основании п. 1 ч. 3 ст. 6 ФЗ «Об информации, информационных технологиях и о защите информации». Такое ограничение, если я предпринимаю фактические меры по защите информации, приведет к тому, что моя информация будет охраняться законом. В частности, п. 1 ч. 4 ст. 6 указанного ФЗ предписывает другим лицам соблюдать мои права и мои законные интересы при работе с информацией, созданной мною. Т. к. ограничение доступа к информации в рассматриваемом случае законно (не запрещено, а прямо разрешено п. 1 ч. 3 ст. 6 указанного ФЗ), то и соблюдение ее конфиденциальности является моим законным интересом. А декларируемая законом обязанность соблюдать мои интересы и является той самой правовой охраной, т. е. охраной законом.
___
И это без применения других указанных в моем сообщении выше правовых норм.
извините, не убедительно. Коим объективным образом зафиксировано состояние
То есть вы утверждаете (давайте разберемся) — что, Информация, к которой кто-то как-то ограничил доступ путем утверждения этого посыла, становится охраняемой законом?
ограничить доступв отношении вашей информации, по содержанию, как мы понимаем — нет. Меры также оказались не состоятельны. Только лишь на основании того, что вы так и решили, и вам дал право ограничить доступ фз
на основании п. 1 ч. 3 ст. 6 ФЗ «Об информации, информационных технологиях и о защите информации».
То есть вы утверждаете (давайте разберемся) — что, Информация, к которой кто-то как-то ограничил доступ путем утверждения этого посыла, становится охраняемой законом?
Совсем не понимаю, что Вы хотите сказать.
В законе написано так:
А не так:
И нигде в законе не написано, что такое ограничение доступа — это не ограничение доступа.
В законе написано так:
3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
А не так:
3. Обладатель информации, в предусмотренных федеральными законами случаях, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
И нигде в законе не написано, что такое ограничение доступа — это не ограничение доступа.
Лично я, не считаю, и не вижу, что из того что обладатель информации решил и вправе разрешать или ограничивать доступ к информации, сама информация тут же стала охраняемой Законом, в УК РФ говорится конкретно:
Информация либо охраняется законом, либо нет, либо есть такой закон в отношении конкретной информации либо нет, разве не так?
Неправомерный доступ к охраняемой законом компьютерной информации
Информация либо охраняется законом, либо нет, либо есть такой закон в отношении конкретной информации либо нет, разве не так?
Информация либо охраняется законом, либо нет, либо есть такой закон в отношении конкретной информации либо нет, разве не так?
В общем случае есть ФЗ «Об информации, информационных технологиях и о защите информации», а для частных случаев есть другие федеральные законы.
Лично я, не считаю, и не вижу, что из того что обладатель информации решил и вправе разрешать или ограничивать доступ к информации, сама информация тут же стала охраняемой Законом
Я бы с Вами согласился при следующих условиях:
1. в ч. 3 ст. 6 ФЗ «Об информации...» нужно написать так: «Обладатель информации, в предусмотренных федеральными законами случаях, вправе» (но сейчас там написано так: «Обладатель информации, если иное не предусмотрено федеральными законами, вправе»);
2. в ФЗ «Об информации...» необходимо перечислить условия, при которых информация ограниченного доступа законом не охраняется.
А пока я в законе вижу следующее:
а. создатель информации (который является первоначальным обладателем информации), в общем случае, вправе ограничить к ней доступ (ст. 6);
б. другие лица обязаны соблюдать законные интересы создателя информации, в том числе обеспечивать ее конфиденциальность (ст. 6, ст. 9);
в. создатель информации ограниченного доступа вправе защищать свои интересы в суде (ст. 17).
Пункты «б» и «в» — это и есть охрана информации законом. Но Вы же пытаетесь сказать, что информация, к которой был ограничен доступ в силу п. 1 ч. 3 ст. 6 ФЗ «Об информации...», — это не информация, к которой был ограничен доступ, а какая-то непонятная штука.
Более того, п. 2 ч. 3 ст. 5 ФЗ «Об информации...» предусматривает существование информации, предоставляемой по соглашению лиц, участвующих в соответствующих отношениях. Таким соглашением может быть договор, предусмотренный гражданским законодательством (в частности, ч. 1 ст. 5 ФЗ «Об информации...» допускает использование информации как объекта гражданских отношений). Поскольку гражданские отношения охраняются законом (ст. 1 ГК РФ), то и информация в рамках таких отношений охраняется законом.
Лично я, не считаю, и не вижу, что из того что обладатель информации решил и вправе разрешать или ограничивать доступ к информации, сама информация тут же стала охраняемой Законом
Если после такого решения информация не становится охраняемой законом, то зачем вообще его принимать?
И вы, и я, можем на бытовом уровне думать и делать все что хотим.
Для того, чтоб «отделить мух от котлет», для того, чтоб объективно оценивать и принимать меры, завтра вы или я, решим, что домашнюю коллекцию файлов фотографий кошечек мы решили охранять, ну нравится нам коллекция, ну вот представляет она для вас или меня большую значимость, и вот когда она по каким либо причинам (под действием внутренних или внешних воздействий), будет, например, удалена, следователь, оперработники, сотрудники прокуратуры и суд, из вашей логики — должны будут срочно искать хакера, тратить ваше и свое служебное время, только лишь потому, что
В статье 272 УК РФ ничего не говорится про ущерб для кого-либо, посмотрите внимательно, а почему, ну наверно, в том числе и потому, как из нормальной логики следует — ущерб это уже воздействие на Охраняемую законом информацию, то есть информация, по содержанию и форме ее Законом охранять надо, и вот как раз воздействие на нее без права от обладателя — есть преступление.
Как вы считаете?
Если после такого решения информация не становится охраняемой законом, то зачем вообще его принимать?
Для того, чтоб «отделить мух от котлет», для того, чтоб объективно оценивать и принимать меры, завтра вы или я, решим, что домашнюю коллекцию файлов фотографий кошечек мы решили охранять, ну нравится нам коллекция, ну вот представляет она для вас или меня большую значимость, и вот когда она по каким либо причинам (под действием внутренних или внешних воздействий), будет, например, удалена, следователь, оперработники, сотрудники прокуратуры и суд, из вашей логики — должны будут срочно искать хакера, тратить ваше и свое служебное время, только лишь потому, что
обладатель коллекции решил и вправе разрешать или ограничивать доступ к информации ---> и она конечно же тогда охраняется Законом
В статье 272 УК РФ ничего не говорится про ущерб для кого-либо, посмотрите внимательно, а почему, ну наверно, в том числе и потому, как из нормальной логики следует — ущерб это уже воздействие на Охраняемую законом информацию, то есть информация, по содержанию и форме ее Законом охранять надо, и вот как раз воздействие на нее без права от обладателя — есть преступление.
Как вы считаете?
Именно, что «следователь, оперработники, сотрудники прокуратуры и суд, из вашей логики — должны будут срочно искать хакера, тратить ваше и свое служебное время». Хакер взломал мой комп и удалил моих любимых кошечек — пускай сидит. Это как с разработкой вредоносного ПО — достаточно разработать и уже статья. Даже попытки применения не нужно.
домашнюю коллекцию файлов фотографий кошечек мы решили охранять
Если файлы записаны на домашнем компьютере, были получены правомерным путем и их использование не носит противоправный характер, то они относятся к частной жизни лица, которая неприкосновенна в силу Конституции. Как отмечает Конституционный Суд: «лишь само лицо вправе определить, какие именно сведения, имеющие отношение к его частной жизни, должны оставаться в тайне, а потому и сбор, хранение, использование и распространение такой информации, не доверенной никому, не допускается без согласия данного лица, как того требует Конституция Российской Федерации». Вот и та самая «охрана законом».
Вы это серьезно?
Да. А что не так?
Если файлы записаны на домашнем компьютере, были получены правомерным путем и их использование не носит противоправный характер, то они относятся к частной жизни лица — как минимум ошибочное суждение в том обобщенном варианте который предлагаете вы.
Обоснуйте.
Постарайтесь понять меня правильно, статья называется Диссонанс —
С одной стороны я с вашими доводами абсолютно согласен, мне претит мысль, что кто-то как-то осуществит неправомерный доступ к Моей информации (будь то это кошечки с собачками или собрание личных сочинений, и представляющих интерес исключительно для меня) и воздействует на нее, но с другой же стороны, я прекрасно понимаю и реальную сторону вопроса, сложившуюся ситуацию с охраняемой Законом, мои «кошечки и собачки» не представляют с объективной точки зрения какой-либо ценности, и ведение уголовного преследования за их удаление — ну, наверно, абсурдно. Пока не произведут изменения в конкретные статьи УК РФ -такой диссонанс и будет, причем не только у меня.
то, что не соответствует, противоречит чему-либо, вносит разлад, нарушая гармонию
С одной стороны я с вашими доводами абсолютно согласен, мне претит мысль, что кто-то как-то осуществит неправомерный доступ к Моей информации (будь то это кошечки с собачками или собрание личных сочинений, и представляющих интерес исключительно для меня) и воздействует на нее, но с другой же стороны, я прекрасно понимаю и реальную сторону вопроса, сложившуюся ситуацию с охраняемой Законом, мои «кошечки и собачки» не представляют с объективной точки зрения какой-либо ценности, и ведение уголовного преследования за их удаление — ну, наверно, абсурдно. Пока не произведут изменения в конкретные статьи УК РФ -такой диссонанс и будет, причем не только у меня.
мои «кошечки и собачки» не представляют с объективной точки зрения какой-либо ценности, и ведение уголовного преследования за их удаление — ну, наверно, абсурдно.
Ваше право ограничивать доступ к ним представляет ценность, которую охраняет закон.
Ваше право ограничивать доступ к ним представляет ценность, которую охраняет закон.
Право охраняет закон, фактически в статье УК написано — охраняемая законом информация.
Читая «прямо» — есть закон об охране такой информации — охраняется, нет закона — не охраняется, с последующим выводом о наличии признаков состава преступления.
Нет закона охранять информацию о животных (их размер, цвет, волосатость и так далее) представленную в виде свободно распространяемых фотографий-файлов — удаление такой информации — не уголовно наказуемо.
информация — сведения (сообщения, данные) независимо от формы их представления;
5) обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
…
4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
Как-то мне кажется, что в совокупности всё это свидетельствует о том, что если фотографии кошечек мною получены законным путем, то я могу ограничить к ним доступ (например, запаролив вход на комп) и они станут охраняемой законом информацией, несанкционированный доступ к которой повлечет уголовную ответственность.
Закон охраняет информацию, содержание информации, содержание файлов, и через эту конструкцию охраняет гражданина.
Другой примитивный (спорный с моей точки зрения) пример, вы инстаграмите фотографии, неизвестный подобрав, украв, подсмотрев пароль заходит в ваш аккаунт по вами и удаляет ваши публичные фотографии, не читая при этом вашей переписки, не смотрит ваши другие учетные данные.
Совершено ли преступление?
Другой примитивный (спорный с моей точки зрения) пример, вы инстаграмите фотографии, неизвестный подобрав, украв, подсмотрев пароль заходит в ваш аккаунт по вами и удаляет ваши публичные фотографии, не читая при этом вашей переписки, не смотрит ваши другие учетные данные.
Совершено ли преступление?
мои «кошечки и собачки» не представляют с объективной точки зрения какой-либо ценности, и ведение уголовного преследования за их удаление — ну, наверно, абсурдно
Сведения о частной жизни лица охраняются вне зависимости от их ценности — ч. 1 ст. 23 и ч. 1 ст. 24 Конституции. Толкование понятия частной жизни лица дается Конституционным Судом в Определении от 28 июня 2012 г. N 1253-О:
в понятие «частная жизнь» включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер
Можно заметить, что понятию частной жизни дается расширительное толкование.
Поэтому сбор, хранение и использование (просмотр) фотографий кошек, совершенные лицом в личных целях без нарушения закона, соответствуют указанному понятию частной жизни и охраняются в силу вышеназванных положений Конституции. Т. к. Конституция является главным законом, то и сведения, ею защищаемые, являются охраняемыми законом в смысле ст. 272 УК РФ.
Вы или путаете, или подменяете сущность информации к контексте УК РФ.
Статья 272 УК РФ ввела уголовное преследования за неправомерное воздействие на охраняемую законом информацию. Информация содержащаяся в фотографиях в рассматриваемом примере не охраняется законом, сами по себе сведения о том, что я люблю рассматривать кошек и собак, хранить их в виде графических файлов — да, это может быть моей частной жизнью и конечно же охраняется Законом, но воздействие на сами фотографии — их удаление, никаким образом не воздействует на информацию(сведения) о том, что я люблю их коллекционировать, никаким образом не связано с моей личной жизнью.
являются охраняемыми законом в смысле ст. 272 УК РФ.— это уже от вас лично.
Статья 272 УК РФ ввела уголовное преследования за неправомерное воздействие на охраняемую законом информацию. Информация содержащаяся в фотографиях в рассматриваемом примере не охраняется законом, сами по себе сведения о том, что я люблю рассматривать кошек и собак, хранить их в виде графических файлов — да, это может быть моей частной жизнью и конечно же охраняется Законом, но воздействие на сами фотографии — их удаление, никаким образом не воздействует на информацию(сведения) о том, что я люблю их коллекционировать, никаким образом не связано с моей личной жизнью.
Информация содержащаяся в фотографиях в рассматриваемом примере не охраняется законом
С чего вы это решили? Потому что нет закона об охране информации на личных компах пользователеях? Или информации о кошечках?
сами по себе сведения о том, что я люблю рассматривать кошек и собак, хранить их в виде графических файлов — да, это может быть моей частной жизнью и конечно же охраняется Законом, но воздействие на сами фотографии — их удаление, никаким образом не воздействует на информацию(сведения) о том, что я люблю их коллекционировать, никаким образом не связано с моей личной жизнь
Еще раз. Закон исходит из расширительного толкования понятия частной жизни.
Факт правомерной записи на машинный носитель информации фотографии кота, если такая запись произведена в личных целях, охраняется законом как составляющая частной жизни. Но и сама фотография, выраженная в форме информации на машинном носителе, отражает составляющую частной жизни — предпочтения в выборе кота, к примеру (и поэтому охраняется законом). Более того, если машинный носитель информации является личным и используется только в личных целях, то его содержимое является аспектом «жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер» (т. е. целиком и полностью относится к частной жизни).
Иными словами, отнесение информации к сфере частной жизни происходит по признаку отношения этой информации к области жизнедеятельности человека, которая относится к отдельному лицу и касается только его. Фотографии котов на личном компьютере, правомерно полученные, правомерно записанные на него и используемые правомерно в личных целях, относятся именно к такой области, вне зависимости от их содержания.
А ещё обратите внимание на инициативу ФСТЭК по внесению изменений в закон об информации, эти поправки сейчас достаточно активно (но кулуарно) обсуждаются. Был отзыв минэкономразвития об этом законопроекте, причём не просто разгромный, а уничтожающий. Плюс ФСТЭК продавливает закон о лицензировании и аккредитации средств защиты информации.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Диссонанс