Уголовный кодекс рф информационная безопасность

Уголовный кодекс рф информационная безопасность

Инструкция

    К негативным последствиям развития современных информационных и коммуникационных технологий относятся:
    формирование единого информационного простран­ства
    работа с информацией становится главным содер­жанием профессиональной деятельности
    организацию свободного доступа каждого челове­ка к информационным ресурсам человеческой цивилизации
    доступность личной информации для общества и государства, вторжение информационных техно­логий в частную жизнь людей.

Информатизация общества-это:
процесс повсеместного распространения ПК
социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей граждан
процесс внедрения новых информационных технологий
процесс формирования информационной культуры человека

Обеспечение защиты информации проводится конст­рукторами и разработчиками программного обеспе­чения в следующих направлениях:
защита от сбоев работы оборудования
защита от преднамеренного искажения
разработка правовой базы для борьбы с преступле­ниями в сфере информационных технологий
защита от несанкционированного доступа к инфор­мации

Какой из нормативно-правовых документов опреде­ляет перечень объектов информационной безопасно­сти личности, общества и государства и методы ее обеспечения?
Уголовный кодекс РФ
Гражданский кодекс РФ
Доктрина информационной безопасности РФ
постановления Правительства РФ

Методы обеспечения информационной безопасности делятся на (указать неправильный ответ):
правовые
экономические
политические
все перечисленные выше

Компьютерные вирусы-это:
вредоносные программы, которые возникают в связи со сбоями в аппаратных средствах компьютера
программы, которые пишутся хакерами специально для нанесения ущерба пользователям ПК
программы, являющиеся следствием ошибок в операционной системе
вирусы, сходные по природе с биологическими вирусами

Что не относится к объектам информационной безопасности РФ?
природные и энергетические ресурсы
информационные системы различного класса и назначения, информационные технологии
система формирования общественного сознания
права граждан, юридических лиц и государства на получение, распространение, использование и защиту информации и интеллектуальной собствен­ности.

Можно ли использовать статьи из разных журнала и газет на политические, экономические, религиозные или социальные темы для подготовки с их пользованием учебного материала?
нет
да, указав источники заимствования
да, указав ФИО авторов и название статей
да, не спрашивая согласия правообладателей, но обязательным указанием источника заимствована и имен авторов

Какой закон содержит гарантии недопущения сбора, хранения, использования и распространения инфор­мации о частной жизни граждан?
Указ Президента РФ
Закон «Об информации, информатизации и защи­те информации»
Закон «О правовой охране программ для ЭВМ и баз данных
Раздел «Преступления в сфере компьютерной ин­формации» Уголовного кодекса РФ

Какие действия в Уголовном кодексе РФ классифи­цируются как преступления в компьютерной инфор­мационной сфере?
неправомерный доступ к компьютерной информа­ции
создание, использование и распространение вре­доносных программ для ЭВМ
умышленное нарушение правил эксплуатации ЭВМ и их сетей
все перечисленное выше

ТЕСТ «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ»

1. В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:

a) меры обеспечения целостности;

b) административные меры;

c) меры обеспечения конфиденциальности.

2. Дублирование сообщений является угрозой:

3. Вредоносное ПО Melissa подвергает атаке на доступность:

a) системы электронной коммерции;

b) геоинформационные системы;

c) системы электронной почты.

4. Выберите вредоносную программу, которая открыла новый этап в развитии данной области.

5. Самыми опасными источниками внутренних угроз являются:

a) некомпетентные руководители;

b) обиженные сотрудники;

c) любопытные администраторы.

6. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности.

a) просчеты при администрировании информационных систем;

b) необходимость постоянной модификации информационных систем;

c) сложность современных информационных систем.

7. Агрессивное потребление ресурсов является угрозой:

8. Программа Melissa — это:

9. Для внедрения бомб чаще всего используются ошибки типа:

a) отсутствие проверок кодов возврата;

b) переполнение буфера;

c) нарушение целостности транзакций.

10. Окно опасности появляется, когда:

a) становится известно о средствах использования уязвимости;

b) появляется возможность использовать уязвимость;

c) устанавливается новое ПО.

11 .Среди ниже перечисленных отметьте две троянские программы:

12. Уголовный кодекс РФ не предусматривает наказания за:

a) создание, использование и распространение вредоносных программ;

b) ведение личной корреспонденции на производственной технической базе;

c) нарушение правил эксплуатации информационных систем.

13. Под определение средств защиты информации, данное в Законе «О государственной тайне», подпадают:

a) средства выявления злоумышленной активности;

b) средства обеспечения отказоустойчивости;

c) средства контроля эффективности защиты информации.

14. Уровень безопасности В согласно «Оранжевой книге» характеризуется:

a) произвольным управлением доступом;

15. В число классов требований доверия безопасности «Общих критериев» входят:

b) оценка профиля защиты;

16. Согласно «Оранжевой книге» политика безопасности включает в себя следующие элементы:

a) периметр безопасности;

b) метки безопасности;

c) сертификаты безопасности.

17. Согласно рекомендациям Х.800 выделяются следующие сервисы безопасности:

a) управление квотами;

b) управление доступом;

18. Уровень безопасности А согласно «Оранжевой книге» характеризуется:

b) принудительным управлением доступом;

c) верифицируемой безопасностью.

19. Согласно рекомендациям Х.800 аутентификация может быть реализована на:

a) сетевом уровне;

b) транспортном уровне;

c) прикладном уровне.

20. В число целей политики безопасности верхнего уровня входят:

a) решение сформировать или пересмотреть комплексную программу безопасности;

b) обеспечение базы для соблюдения законов и правил;

c) обеспечение конфиденциальности почтовых сообщений.

21. В число целей политики безопасности верхнего уровня входят:

a) управление рисками;

b) определение ответственных за информационные сервисы;

c) определение мер наказания за нарушения политики безопасности.

22. В рамках политики безопасности нижнего уровня осуществляются:

a) стратегическое планирование;

b) повседневное администрирование;

c) отслеживание слабых мест защиты.

23. Политика безопасности строится на основе:

a) общих представлений об ИС организации;

b) изучения политик родственных организаций;

c) анализа рисков.

24. В число целей политики безопасности верхнего уровня входят:

a) формулировка административных решений по важнейшим аспектам реализации программы безопасности;

b) выбор методов аутентификации пользователей;

c) обеспечение базы для соблюдения законов и правил.

25. Риск является функцией:

a) размера возможного ущерба;

b) числа пользователей информационной системы;

c) уставного капитала организации.

26. В число этапов управления рисками входят:

a) идентификация активов;

b) ликвидация пассивов;

c) выборобъектов оценки.

27. Первый шаг в анализе угроз — это:

a) идентификация угроз;

b) аутентификация угроз;

c) ликвидация угроз.

28. Управление рисками включает в себя следующие виды деятель ности:

a) определение ответственных за анализ рисков;

b) оценка рисков;

c) выбор эффективных защитных средств.

29. Оценка рисков позволяет ответить на следующие вопросы:

a) чем рискует организация, используя информационную систе му?

b) чем рискуют пользователи информационной системы?

c) чем рискуют системные администраторы?

30. В число классов мер процедурного уровня входят:

a) поддержание работоспособности;

b) поддержание физической формы;

c) физическая защита.

31. В число принципов управления персоналом входят:

a) минимизация привилегий;

b) минимизация зарплаты;

c) максимизация зарплаты.

32. В число этапов процесса планирования восстановительных ра бот входят:

a) выявление критически важных функций организации;

b) определение перечня возможных аварий;

c) проведение тестовых аварий.

33. В число направлений повседневной деятельности на процедур ном уровне входят:

a) ситуационное управление;

b) конфигурационное управление;

c) оптимальное управление.

34. Протоколирование и аудит могут использоваться для:

c) восстановления режима И Б.

35. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:

a) выработка и проведение в жизнь единой политики безопасности;

b) унификация аппаратно-программных платформ;

c) минимизация числа используемых приложений.

36. Экранирование может использоваться для:

a) предупреждения нарушений И Б;

b) обнаружения нарушений;

c) локализации последствий нарушений.

37. В число основных принципов архитектурной безопасности входят:

a) следование признанным стандартам;

b) применение нестандартных решений, не известных злоумышленникам;

c) разнообразие защитных средств.

38. В число основных принципов архитектурной безопасности входят:

a) усиление самого слабого звена;

b) укрепление наиболее вероятного объекта атаки;

c) эшелонированность обороны.

39. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:

a) использование собственных линий связи;

b) обеспечение конфиденциальности и целостности при сетевых взаимодействиях;

c) полный анализ сетевого трафика.

40. В число универсальных сервисов безопасности входят:

a) управление доступом;

b) управление информационными системами и их компонентами;

c) управление носителями.

41. Контроль целостности может использоваться для:

42. В число универсальных сервисов безопасности входят:

a) средства построения виртуальных локальных сетей;

c) протоколирование и аудит.

43. В качестве аутентификатора в сетевой среде могут использоваться:

a) кардиограмма субъекта;

b) номер карточки пенсионного страхования;

c) результат работы генератора одноразовых паролей.

44. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:

c) атак на доступность.

45. В число основных понятий ролевого управления доступом входит:

b) исполнитель роли;

c) пользователь роли.

46. В качестве аутентификатора в сетевой среде могут использоваться:

a) год рождения субъекта;

b) фамилия субъекта;

c) секретный криптографический ключ.

47. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:

48. В число основных понятий ролевого управления доступом входит:

49. Цифровой сертификат содержит:

a) открытый ключ пользователя;

b) секретный ключ пользователя;

c) имя пользователя.

50. Криптография необходима для реализации следующих сервисов безопасности:

51. Криптография необходима для реализации следующих сервисов безопасности:

a) контроль конфиденциальности;

b) контроль целостности;

c) контроль доступа.

52. Экран выполняет функции:

a) разграничения доступа;

b) облегчения доступа;

c) усложнения доступа.

53. Демилитаризованная зона располагается:

a) перед внешним межсетевым экраном;

b) между межсетевыми экранами;

c) за внутренним межсетевым экраном.

54. Экранирование на сетевом и транспортном уровнях может обеспечить:

a) разграничение доступа по сетевым адресам;

b) выборочное выполнение команд прикладного протокола;

c) контроль объема данных, переданных по ТСР-соединению.

55. Системы анализа защищенности помогают предотвратить:

a) известные атаки;

b) новые виды атак;

c) нетипичное поведение пользователей.

56. Среднее время наработки на отказ:

a) пропорционально интенсивности отказов;

b) обратно пропорционально интенсивности отказов;

c) не зависит от интенсивности отказов.

57. Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели 081:

c) уровне представления.

58. Принцип усиления самого слабого звена можно переформулировать как:

a) принцип равнопрочности обороны;

b) принцип удаления слабого звена;

c) принцип выявления главного звена, ухватившись за которое, можно вытянуть всю цепь.

59. Политика безопасности:

a) фиксирует правила разграничения доступа;

b) отражает подход организации к защите своих информационных активов;

c) описывает способы защиты руководства организации.

60. При анализе стоимости защитных мер следует учитывать:

Уголовно-правовые риски операторов информационных систем

Основными типами информационных систем (далее – ИС), эксплуатация которых влечет возникновение уголовно-правовой ответственности оператора, являются информационные системы персональных данных (далее – ИСПДн), государственные информационные системы (далее – ГИС) и информационные системы – объекты критической информационной инфраструктуры (далее – ОКИИ) 1 .

Законодательством Российской Федерации для операторов предусмотрена административная и уголовная ответственность за нарушение установленных правил эксплуатации ИС. Квалификация действий оператора сильно зависит от типа эксплуатируемой ИС. При этом операторами повсеместно недооценивается срок давности по таким преступлениям. Важно также отметить, что основным надзорным органом, привлекающим операторов к административной ответственности, является ФСБ России 2 . Но не стоит забывать, что ФСТЭК России также имеет подобные полномочия 3 .

Иногда это приводит к интересным коллизиям в судебных делах, когда дело об административном правонарушении по ст. 13.12 ч. 2 КоАП РФ возбуждено отделом ФСБ, а суд определил передать дело об административном правонарушении в Управление ФСТЭК России [1]. Сведем уголовно-правовые риски оператора в табл. 1.

К настоящему моменту сложилась правоприменительная практика по привлечению должностных лиц операторов ИС к административной ответственности по ч. 6 ст. 13.12. КоАП РФ (нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации) территориальными органами ФСБ России. Особенностями данной практики являются следующие моменты:

  • К ответственности привлекаются руководители операторов, вне зависимости от содержания должностных инструкций и трудовых договоров. Должностные лица ФСБ России и судов (в случае обжалования постановлений об административном правонарушении) придерживаются позиции, что руководитель учреждения при организации работы с ГИС в соответствии с законодательством РФ обязан принимать или обеспечивать необходимые правовые, организационные и технические меры для защиты обрабатываемой информации от неправомерного или случайного доступа. [4]
  • За невыполнение требований по защите информации, установленных приказами ФСТЭК № 17 и № 21, к ответственности привлекаются руководители операторов (подведомственных учреждений), не являющиеся операторами государственных информационных систем, при их подключении к централизованным ГИС посредством автоматизированных рабочих мест, не аттестованных на соответствие требованиям по защите информации, изложенных в приказе ФСТЭК России № 17. [5]
  • Использование Web-при-ложений для доступа к ГИС не освобождает оператора от обязанностей по аттестации автоматизированных рабочих мест на соответствие требованиям по защите информации, установленным приказом ФСТЭК России № 17. [4]
  • Отмечены также случаи привлечения к административной ответственности операторов ГИС и ИСПДн за использование несертифицированных средств защиты информации и за использование средств криптографической защиты информации (далее – СКЗИ) несоответствующего класса [6].

    Правоприменительная практика уголовного наказания операторов очень скудна, в основном это применение ч. 1 ст. 274 УК РФ к операторам информационных систем, обрабатывающих банковскую информацию. Вызвано это необходимостью доказательства размера «крупного ущерба» (более 1 млн руб.), при этом суды требуют оценить стоимость преступных действий, а не стоимость действий по ликвидации их последствий. [7].

    Хотелось бы отметить следующие нюансы уголовного преследования по ст. 274 УК РФ с точки зрения Генеральной прокуратуры России [8]:

  • Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети Интернет, не существует. Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.
  • Объективная сторона преступления состоит в нарушении правил хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, если такое нарушение повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.
  • Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными ст. 272 и 273 УК РФ.
  • Правила, о которых идет речь в ст. 274 УК РФ, должны быть направлены только на обеспечение информационной безопасности. В ней говорится о нарушении правил, которое может повлечь уничтожение, блокирование или модификацию охраняемой законом компьютерной информации, т.е. такие же последствия, что и при неправомерном доступе к компьютерной информации, создании, использовании и распространении вредоносных программ для ЭВМ.
  • Субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа, предусмотренное ч. 1 ст. 274 УК РФ, может совершаться как умышленно (при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа), так и по неосторожности (например, программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы).
  • По ст. 274.1 УК РФ правоприменительная практика отсутствует, так как статья введена в действие только 01.01.2018. Но для операторов ОКИИ прогноз более пессимистичный. Ст. 274.1 УК РФ относится к «тяжким», при этом не установлен пороговый размер вреда, превышение которого приводит к уголовной ответственности.

    Учитывая вышесказанное, рекомендуется провести следующие мероприятия по минимизации рисков для организации:

  • Провести классификацию ИС в соответствии с законодательством Российской Федерации.
  • Провести инвентаризацию средств защиты информации на предмет наличия сертификатов соответствия требованиям по безопасности (ГИС) либо провести оценку соответствия самостоятельно (ИСПДн, ОКИИ).
  • При использовании СКЗИ проверить наличие и правильность обоснования по выбору класса защиты СКЗИ.
  • При подключении к ГИС обязательно наличие аттестата соответствия на удаленные рабочие места. Либо получен свой аттестат, либо получено подтверждение от оператора ГИС о том, что ваши рабочие места учтены как типовые в аттестате на ГИС.
  • При закупке услуг у облачного провайдера обязательно интересуйтесь местом нахождения облачной инфраструктуры.
  • Операторам ОКИИ следует очень аккуратно подходить кпро-ведению внутренних служебных расследований инфраструктурных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные документы по результатам таких проверок могут использоваться правоохранительными органами для возбуждения уголовного дела в течение последующих 10 лет.
  • Литература

    • [1] Решение по делу об административном правонарушении мирового судьи судебного участка № 2 Морозовского судебного района Ростовской области от 31.03.2015 № 5-160/2015.
    • [2] Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 31.12.2017).
    • [3] Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ (ред. от 31.12.2017).
    • [4] Решение по делу об административном правонарушении Советского районного суда г. Владикавказа РСО-Алания от 11.05.2017 № 12-65/2017.
    • [5] Решение по делу об административном правонарушении Ленинского районного суда от 22.01.2016 № 12-1/16.
    • [6] Решение по делу об административном правонарушении Промышленного районного суда г. Смоленска от 11.05.2017 № 12-65/2017.
    • [7] Постановление по уголовному делу Лефортовского районного суда г. Москвы от 29.09.2014 № 1-277/2014.
    • [8] Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации (утв. Генпрокуратурой России)

    Ответственность за нарушение требований по защите персональных данных

    К федеральным законам, раскрывающим ответственность за нарушения в сфере защиты персональных данных, можно отнести:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 23.12.2010).
  • Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  • Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 07.02.2011) (с изменениями и дополнениями, вступившими в силу с 07.04.2011).
  • Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 07.03.2011).
  • Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ред. от 29.12.2010).
  • Гражданский кодекс РФ.
  • Виды ответственности

    Статья 24 закона № 152-ФЗ «О персональных данных» прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Рассмотрим ответственность по перечисленным законам с акцентом на ответственности за нарушения требований по защите персональных данных.

    Гражданский кодекс РФ

    Гражданский кодекс РФ в ст. 946 вводит ответственность за нарушение «тайны страхования». Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и тех пределах, в каких использование способов защиты гражданских прав (компенсация морального вреда, возмещение убытков) вытекает из существа нарушенного нематериального права и характера последствий этого нарушения. Прецедент правоприменения данной статьи автору пока не известен.

    Уголовный кодекс РФ

    Уголовный кодекс РФ предусматривает наказание по ст. 137, 140 и 272.

    По ст. 137 наступает ответственность за нарушение неприкосновенности частной жизни, выражающееся в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. По статье предусмотрен штраф в размере до 200 тысяч рублей или лишение свободы на срок до 2 лет. Те же деяния, совершенные лицом с использованием своего служебного положения, предусматривают штраф в размере от 100 тысяч до лишения свободы на срок до 4 лет. Как следует из диспозиции статьи, правоприменимость статьи не зависит от наличия средств защиты персональных данных.

    По ст. 140 ответственность наступает при неправомерном отказе должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. По статье предусмотрено наказание: штраф в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.

    По ст. 272 Уголовного кодекса РФ наступает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. По статье предусмотрен штраф в размере от 200 тысяч рублей или лишение свободы на срок до 2 лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, предусматривает штраф в размере от 100 тысяч или лишение свободы на срок до 5 лет.

    Как следует из диспозиции статьи, правоприменимость статьи зависит от наличия средств защиты персональных данных как признака охраняемой информации. Но статья относится к лицу, совершившему неправомерный доступ, а не к оператору персональных данных. Кроме того, данная норма содержит условие, которое позволяет отнести данное правонарушение к разряду уголовно наказуемых деяний, «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети».

    Кодекс об административных правонарушениях

    Кодекс об административных правонарушениях включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом).

    Отказ в предоставлении информации (ст. 5.39) наиболее часто встречается в правоприменительной практике. Это связано не только с малыми сроками предоставления информации, но и прежде всего с отсутствием у оператора регламентов предоставления информации.

    Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации влекут наложение административного штрафа на должностных лиц в размере от 1 до 3 тысяч рублей.

    Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11) напрямую указывает на необходимость соблюдения ФЗ-152 «О персональных данных». Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.

    Ст. 13.12 «Нарушение правил защиты информации» содержит три обязательных признака, только при их наличии наступает ответственность по ст. 13.12:

    1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Это указывает на обязательность лицензирования деятельности по защите информации. Если лицензии отсутствуют, то отсутствуют и объективные признаки нарушения. Санкции по статье – это наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.
    2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации. Санкции в этом случае – наложение административного штрафа на граждан в размере от 500 до 1 тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 1 до 2 тысяч рублей; на юридических лиц – от 10 до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. То есть, если при проверке окажется, что в системе защиты используются несерти-фицированные средства, они могут быть конфискованы.
    3. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).
    4. Это условие рассмотрим более подробно во второй части статьи, которая будет опубликована в журнале «Информационная безопасность» № 4.

      Информационная безопасность

      Учебное пособие

      Информация по главам с 4 по 8 будет выложена на сайте в ближайшее время

      3.2. Правовое обеспечение информационной безопасности РФ

      Правовое обеспечение рассматривается как приоритетное направление формирования механизмов реализации политики обеспечения информационной безопасности в РФ и включает в себя:

      1) нормотворческую деятельность по созданию законодательства, регулирующего отношения в обществе, связанные с обеспечением информационной безопасности;

      2) исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации и защиты информации органами государственной власти и управления, организациями (юридическими лицами), гражданами.

      Нормотворческая деятельность в области обеспечения информационной безопасности предусматривает:

      — оценку состояния действующего законодательства и разработку программы его совершенствования;

      — создание организационно-правовых механизмов обеспечения информационной безопасности;

      — формирование правового статуса всех субъектов в системе информационной безопасности, пользователей информационных и телекоммуникационных систем и определение их ответственности за обеспечение информационной безопасности;

      — разработку организационно-правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учётом всех видов (категорий) информации;

      — разработку законодательных и других нормативных актов, регулирующих порядок ликвидации последствий воздействия угроз, восстановления нарушенного права и ресурсов, реализации компенсационных мер.

      Исполнительная и правоприменительная деятельность предусматривает разработку процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с закрытой информацией и нарушившим регламент информационных взаимодействий, а также правонарушения с использованием незащищенных средств информатизации, разработку составов правонарушений с учётом специфики уголовной, гражданской, административной, дисциплинарной ответственности.

      Вся деятельность по правовому обеспечению информационной безопасности должна строиться на основе трех фундаментальных положений права: соблюдение законности, обеспечение баланса интересов отдельных субъектов и государства, неотвратимость наказания.

      Соблюдение законности предполагает наличие законов и иных нормативных установлений, их применение и исполнение субъектами права в области информационной безопасности. Законодательная и нормативно-правовая база в сфере информации и информационной безопасности в РФ включает в себя:

      1. Законы Российской Федерации:

      — «О банках и банковской деятельности»;

      — «О внешней разведке»;

      — «О государственной тайне»;

      — «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»;

      — «О закрытом административно-территориальном образовании»;

      — «О правовой охране программ для электронных вычислительных машин и баз данных»;

      — «О правовой охране топологий интегральных микросхем»;

      — «О сертификации продукции и услуг»;

      — «О средствах массовой информации»;

      — «О товарных знаках, знаках обслуживания и наименовании мест происхождения товаров»;

      — «О федеральных органах правительственной связи и информации»;

      — «Об авторском праве и смежных правах»;

      — «Об архивном фонде Российской Федерации и архивах»;

      — «Об информации, информационных технологиях и о защите информации»;

      — «Об оперативно-розыскной деятельности»;

      — «Об органах Федеральной службы безопасности в Российской Федерации»;

      — «Об обязательном экземпляре документов»;

      — «Об участии в международном информационном обмене»;

      2. Нормативные правовые акты Президента Российской Федерации:

      — Доктрина информационной безопасности РФ;

      — Военная доктрина РФ;

      — Концепция национальной безопасности РФ;

      — «Вопросы межведомственной комиссии по защите государственной тайны»;

      — «Вопросы Государственной технической комиссии при Президенте Российской Федерации»;

      — «О создании Государственной технической комиссии при Президенте Российской Федерации»;

      — «О Государственной технической комиссии при Президенте Российской Федерации»;

      — «О некоторых вопросах межведомственной комиссии по защите государственной тайны»;

      — «О перечне сведений, отнесенных к государственной тайне»;

      — «Об основах государственной политики в сфере информатизации»;

      — «Об утверждении перечня должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне»;

      — «Об утверждении перечня сведений конфиденциального характера».

      3. Нормативные правовые акты Правительства Российской Федерации:

      — «О сертификации средств защиты информации»;

      — «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»;

      — «Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР»;

      — «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности»;

      — «О подготовке к передаче сведений, составляющих государственную тайну, другим государствам»;

      — «О лицензировании отдельных видов деятельности».

      4. Руководящие документы Гостехкомиссии России:

      — «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»;

      — «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники»;

      — «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

      — «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;

      — «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

      — «Защита информации. Специальные защитные знаки. Классификация и общие требования»;

      — «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

      5. Уголовный кодекс Российской Федерации.

      Реализация механизмов правового обеспечения информационной безопасности должна опираться на информатизацию правовой сферы в целом.

      Учебное пособие Гафнер В.В. Информационная безопасность: учеб. пособие / В.В. Гафнер. – Ростов на Дону: Феникс, 2010. — 324 с.

      можно самостоятельно приобрести через книжные интернет-магазины ЛАБИРИНТ, ОЗОН и др.

      Уголовная Ответственность За Нарушение Промышленной Безопасности ОПО!

      Приветствую, друзья! Руководителям и специалистам в области промышленной безопасности на ОПО принять к сведению информацию про изменение Уголовного кодекса Российской Федерации в части нарушений требований промышленной безопасности опасных производственных объектов.

      Уголовный кодекс РФ преобразуется согласно Федерального закона от 23.04.2018 г. № 114-ФЗ. Изменения коснулись статей 216 и 217 УК РФ. Статья 269 канула в Лету.

      Из статьи 216 УК РФ исключается слово «горных», т.е. в новой редакции статья будет выглядеть так:

      Статья 216. Нарушение правил безопасности при ведении строительных или иных работ

      1. Нарушение правил безопасности при ведении строительных или иных работ, если это повлекло по неосторожности причинение тяжкого вреда здоровью человека либо крупного ущерба, —
      наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осуждённого за период до шести месяцев, либо ограничением свободы на срок до трёх лет, либо принудительными работами на срок до трёх лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет или без такового, либо лишением свободы на тот же срок с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет или без такового.

      2. То же деяние, повлекшее по неосторожности смерть человека, —
      наказывается принудительными работами на срок до пяти лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет или без такового либо лишением свободы на срок до пяти лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет или без такового.

      Статья 217 УК РФ конкретизировалась в части ОПО, чего ранее не было. На данный момент виновных привлекают в зависимости от вида работ, при которых произошло нарушение.

      В новой редакции статья 217 УК РФ будет такой:

      Статья 217. Нарушение требований промышленной безопасности опасных производственных объектов

      1. Нарушение требований промышленной безопасности опасных производственных объектов, повлекшее по неосторожности причинение тяжкого вреда здоровью человека либо крупного ущерба, —
      наказывается штрафом в размере до четырёхсот тысяч рублей или в размере заработной платы или иного дохода осуждённого за период до восемнадцати месяцев либо лишением свободы на срок до трёх лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет или без такового.

      3. Деяние, предусмотренное частью первой настоящей статьи, повлекшее по неосторожности смерть двух или более лиц, —
      наказывается принудительными работами на срок до пяти лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет или без такового либо лишением свободы на срок до семи лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет или без такового.

      Все вышеуказанные изменения вступят в силу 21 октября 2018 года.

      СКАЧАТЬ ДОКУМЕНТ

      Федеральный закон от 23.04.2018 г. № 114-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статьи 31 и 151 Уголовно-процессуального кодекса Российской Федерации»

      На этом всё. Если информация актуальная, чуть ниже ставим рейтинговые звёздочки и отписываемся в комментариях 😉 Спасибо за участие!

      Получайте анонсы новых заметок сразу на свой E-MAIL

    Закрыть меню