CC BY
106
КАРЕТНИКОВ1 Михаил Константинович
* ! 1
защита информации в нормах
федерального закона российской
федерации
О
В статье с позиций теории защиты, информации выполнен анализ правовых норм. Федерального закона, имеющих непосредственное отношение к сфере защиты, информации. Ключевые слова: защита информации, правовая норма.
The analysis of Federal law legal rules, that concerns accordingly of information, protection sphere, was done in article from, theory of information, security.
Keywords: information protection, legal rule.
В регулировании общественных отношений в информационной сфере одно из центральных мест занимает Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27 июля 2006 года (далее — закон). Ряд правовых норм закона непосредственно связан с защитой информации. В соответствии с законом «государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации» [1]. По всей видимости, регулирование отношений в сфере защиты информации до выдвижения каких-либо требований о защите и ответственности предполагает точное определение объектов и субъектов защиты. При этом решение этой задачи, наверное, в первую очередь, логично ожидать от комментируемого закона. К сожалению, за-
кон, в названии которого использовано словосочетание «о защите информации», прямо не определяет виды или категории информации, подлежащие защите в нашей стране. Так, из текста части 3 статьи 9 закона следует, что «защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне». Согласно части 5 статьи 9 закона: «информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна) подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации». Косвенно содержание нормы подтверждено и распространено не только на профессиональную тайну положениями части 4 статьи 16. Текст этой части перечисляет задачи защиты информации, решение которых должен обеспе-
чить обладатель информации, оператор информационной системы «... в случаях, установленных законодательством Российской Федерации». Содержание перечисленных задач, в формулировке четырех из шести которых используется термин «несанкционированный доступ к информации», свидетельствует о том, что в норме имеется в виду информация ограниченного доступа. Таким образом, фактически закон установил следующее положение: информация ограниченного доступа, в частности профессиональная тайна в нашей стране подлежит защите лишь в случаях, установленных законодательством Российской Федерации. Однако такая позиция законодателя вызывает недоумение. Наверное, если какая-либо информация законодательством страны определена как информация ограниченного доступа, например, как профессиональная тайна, то это неизбежно предполагает необходимость сохранения тайны такой информации и, следовательно, необходимость ее защиты безотносительно к любым случаям.
' — Московский университет МВД Российской Федерации, с.н.с.
И, наконец, часть 3 статьи 16 определяет, что «требования о защите общедоступной информации могут устанавливаться только для достижения ...» ее целостности и доступности, но не «соблюдения конфиденциальности». Далее будет показано, что обеспечение конфиденциальности части общедоступной информации необходимо. Но, поскольку норма включает оборот «требования о защите общедоступной информации могут устанавливаться», наверное, один из вариантов ее интерпретации выглядит следующим образом: общедоступная информация может защищаться, а может и не защищаться. Представляется, что в нашей стране безусловной защите подлежит государственная тайна. Обеспечение конституционных прав личности на свободный поиск, получение и передачу информации, на неприкосновенность частной жизни и жилища, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений [2] предполагает необходимость защиты общедоступной информации и информации ограниченного доступа, определенной законодательством страны. В связи с этим содержание нормы, устанавливающей объекты защиты, должно быть приведено в соответствие с положениями Конституции Российской Федерации, а ее редакция изложена более определенно, например, следующим образом:
«В Российской Федерации защите подлежит. любая, информация, нарушение безопасности которой может, нанести ущерб обладателю информации, ее пользователю или иному лицу». Субъектов защиты информации закон установил в части 4 статьи 6: обладатель информации при осуществлении своих прав обязан «принимать меры по защите информации». Но позже, в начале части 4 статьи 16 расширил их круг: «обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить ...».
Заметим, что в соответствии с законом «обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации,
определяемой по каким-либо признакам» (ст. 2, п. 5 закона). Наверное, распределять обязанность и соответствующую ответственность между двумя субъектами «через запятую» недостаточно продуктивно. Согласно норме, если обладатель информации сам осуществляет эксплуатацию информационной системы, то он обязан организовать соответствующую защиту. Если информацию обладателя в соответствии с договором обрабатывает оператор информационной системы, то согласно норме защищать информацию должен и тот, и другой. Поскольку закон не указывает распределение этой обязанности и разделение ответственности, упоминание второго субъекта в норме закона только запутывает ситуацию. Очевидно, в рамках информационной системы оператор становится неким «вторичным» обладателем информации на основании договора с «первичным» обладателем. Следовательно, «вторичный» обладатель обязан защищать информацию в рамках своей системы. Например, оператор мобильной связи, получая на основании договора личную и семейную тайну пользователя, преобразует ее в тайну связи и защищает эту тайну на всем пути передачи сообщений от отправителя к получателю. Например, нотариус, получая на основании договора личную и семейную тайну своих клиентов, преобразует эту тайну в нотариальную тайну и защищает ее в своем делопроизводстве. Таким образом, указание второго субъекта защиты в норме закона представляется излишним.
Рассмотрим требования, которые предъявляются Федеральным законом к защите информации. Представляется, что включенный в текст части 2 статьи 16 оборот: «государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации ...», может быть истолкован следующим образом. Очевидно, государству делегируется право определять те категории информации, те информационные системы, те предприятия, учреждения или организации, для которых в принципе необходима организация какой-то защиты информации. Правильность такого толкования подтверждает и использованная
конструкция «требования о защите», а не «требования к защите», и тезис: «в случаях, установленных законодательством Российской Федерации», следующей, четвертой части статьи (ст. 16, ч. 4): «Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
О предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; ^ своевременное обнаружение фактов несанкционированного доступа к информации;
^ предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; ^ недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; ^ возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
^ постоянный контроль за обеспечением уровня защищенности информации».
По всей видимости, попытка выдвинуть требования о защите информации явно не является конструктивной. Наверное, среди обладателей информации или операторов информационных систем значительная часть сочтет такие требования обычной формальностью абстрактной административной системы. Другая, не менее значительная часть обладателей, несмотря на, возможно, имеющуюся лицензию, наверное, не имеет никакой подготовки в сфере защиты информации и не способна выстроить мало-мальски эффективную систему защиты. Наверное, среди обладателей информации существует некоторая доля недобросовестных субъектов, для которых дополнительное выделение любых ресурсов на организацию защиты информации покажется излишним.
Очевидно, осознавая непродуктивность подобной позиции, законодатель все же посчитал необходимым не только выдвинуть требования о защите, но и предъявить требования к защите, то есть попытался определить качество
защиты информации, которое должен обеспечивать ее обладатель или оператор информационной системы. Это подтверждает перечень задач защиты информации, решение которых должен обеспечить ее обладатель или оператор информационной системы, в приведенном выше тексте четвертой части комментируемой статьи. Однако законодательный перечень задач защиты информации в значительной степени представляется несостоятельным. Реально каждая из шести задач перечня не предполагает своего абсолютного решения. К соответствующим целям — предотвращению доступа, своевременному обнаружению, недопущению и т.д. - возможно лишь приближение, но не их достижение. В связи с этим каждая задача в отсутствии каких-либо конкретизирующих положений становится лозунгом, практически ни к чему не обязывающим обладателя информации или оператора информационной системы. Например, обладатель информации, обеспечивая предотвращение несанкционированного доступа, может счесть достаточным использование средств наглядной агитации, что полностью соответствует одному из возможных решений первой «нормативной» задачи. С позиций теории защиты информации законодательный перечень необходимых задач или действий по защите информации, очевидно, не является полным. Однако более важным представляется то, что в этой части статьи отсутствует важнейшее требование к обладателю информации: обеспечение требуемого уровня защиты информации. В конечном итоге, именно выполнение этого условия не только предполагает и предотвращение, и обнаружение, и предупреждение, и недопущение, и, наконец, плановое восстановление в случае реализации угрозы и соответствующий контроль, но и задает необходимое качество защиты информации. Известно, что традиционно уровень защиты информации задается перечислением обязательных для реализации мер и мероприятий, иногда, рядом количественных показателей (значением уровней сигналов, критическими расстояниями и т.п.), которые должны быть достигнуты.
Таким образом, представляется, что государственное регулирование отно-
шений в сфере защиты информации, в частности, должно осуществляться установлением требований к защите информации и определением ее нормативного уровня. Отметим, что необходимые меры, в том числе возможные показатели защиты информации, естественно, целесообразно изложить не в Федеральном законе, а в подзаконном нормативном акте, утверждаемом Правительством Российской Федерации, в целом устанавливающим требуемый уровень защиты для различных категорий информации.
Часть 5 статьи 16 определяет следующее: «Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям» (ст. 16, ч. 5). Формально нормы закона не ограничивают статус обладателей информации только государственными органами. Однако, не упоминая в тексте статьи негосударственных обладателей, а лишь ссылаясь на установленные законодательством Российской Федерации случаи, эти нормы фактически отказывают государству в исполнении своих конституционных обязанностей. Иллюстрацией подобного подхода может служить следующий абзац руководящего документа по защите конфиденциальной информации. «Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.), данный документ носит рекомендательный характер» [3]. Упомянутый нормативный документ был подготовлен в 2001 г., когда рождающийся в нашей стране рынок являлся своеобразной «священной коровой». Представляется, что в настоящее время концептуальные положения
обеспечения безопасности личности, общества, государства, их информационной безопасности, важнейшей составляющей которой выступает защита информации, должны быть кардинально изменены. В соответствии с Конституцией Российской Федерации государство обязано обеспечить каждому реализацию прав и законных интересов в информационной сфере. Сегодня значительная часть социально значимой информации, в том числе различного вида тайн, хранится и обрабатывается в недрах негосударственных структур. Следовательно, согласно Конституции государство обязано не только установить адекватные требования к защите соответствующей информации, в том числе и для негосударственных информационных систем, но и постоянно контролировать обеспечение требуемого уровня защиты информации ряда из них. Например, в законе «О персональных данных» законодатель не исключает негосударственные информационные системы из текста нормы: «Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ...». Например, Закон «О государственной тайне» получение лицензий на проведение работ с использованием сведений, составляющих государственную тайну, предприятиями, учреждениями, организациями независимо от их организационно-правовой формы и формы собственности связывает с необходимостью соответствующими субъектами выполнять требования «... нормативных документов, утверждаемых Правительством Российской Федерации, по обеспечению защиты сведений .» [5]. Упомянутое выше уточнение о конт-ро-ле уровня защиты информации только ряда информационных систем связано со следующим обстоятельством. Очевидно, что например, в информационной системе поликлиники хранятся сведения, в том числе составляющие личную и семейную тайну ее пациентов. В связи с этим, декларируя в Основном законе право на личную и семейную тайну каждого (ст. 23, ч. 1 Конституции), государство, естественно, должно не только установить адекватные требования к защите соответ-
ствующей информации, но осуществлять контроль их исполнения администрацией поликлиники, независимо от ее организационно-правовой формы. С другой стороны, в информационной системе негосударственного предприятия могут храниться сведения, в том числе составляющие его коммерческую тайну. Представляется, что и в этой ситуации государство должно определить требуемый уровень защиты информации, обеспечивающий ее безопасность. Однако в силу доминирующей тенденции о минимизации вмешательства государства в рыночные отношения и корпоративного характера тайны, нередко крайне опосредовано затрагивающей права и свободы абстрактного человека и гражданина, контроль обеспечения требуемого уровня защиты информации может осуществляться только по обращению ее обладателя. В результате, если использовать термин «объект информатизации» одного из нормативных документов сферы защиты информации [6], может быть предложена следующая редакция четвертой части статьи 16 Федерального закона Российской Федерации «Об информации, информационных технологиях и о защите информации»: «Требуемый уровень защиты, информации. обеспечивается, ее обладателем.. Требования к защите информации устанавливаются уполномоченными федеральными органами исполнительной власти в пределах их полномочий. Виды, информационных систем, и. объектов информатизации, в отношении которых осуществляется контроль уровня. защиты, информации, и. порядок его проведения определяются. Правительством. Российской. Федерации». Предложение об использовании в тексте термина «объект информатизации» связано со следующим обстоятельством. Пытаясь определить «требования о защите информации», закон в формулировке четвертой и пятой частей статьи 16 использует следующие словосочетания, соответственно: «обладатель информации, оператор информационной системы ... обязаны обеспечить ...» и «требования о защите информации, содержащейся в государственных информационных системах, устанавливаются ...». Тем самым в четвертой части статьи неявно, а в пятой явно законодатель, фактически, указывает сферу
осуществления защиты информации, а именно: защита проводится в отношении информации, содержащейся в информационных системах. Согласно определению закона: «информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (ст. 2, ч. 3 закона). Отметим, что в современной отечественной литературе термины «база данных», «банк данных» однозначно связываются с компьютерными системами и обозначают одни из элементов компьютерной автоматизированной информационной системы. Возможно, систему городской телефонии с ее тайной связи при большом воображении можно признать соответствующей этому определению и обоснованно предъявить требования к защите обрабатываемой информации. Но, например, врач и пациент, в беседе доверяющий доктору личную тайну, в терминах закона такой системой явно не являются. Вместе с тем очевидно, что, например, информация ограниченного доступа, которая озвучивается в соответствующей беседе, на совещаниях и заседаниях в различных служебных кабинетах разных ведомств и организаций также подлежит защите. Следовательно, тезисы закона, фактически ограничивающие защиту информации только той, что содержится в информационных системах с введенным определением, недостаточно корректны. Еще один тезис, подтверждающий подобную «ограничительную» позицию законодателя, содержится в статье 5 закона, где декларируются принципы правового регулирования в информационной сфере. Так, в пункте 5 этой статьи в качестве одного из принципов устанавливается: «обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации». При этом ни в одном из оставшихся семи принципов какие-либо иные сферы защиты информации не упоминаются.
Здесь также уместно отметить явно неудачную редакцию правовой нормы, которая, возможно, «навеяна» комментируемыми законодательными положениями. Согласно Федеральному закону Российской Федерации «О полиции»
ведомство «обеспечивает защиту информации, содержащейся в банках данных, от неправомерного или случайного доступа, уничтожения, копирования, распространения и иных неправомерных действий» [7]. В соответствии с общепринятой интерпретацией термина «банк данных» правовая норма фактически освобождает ведомство от обременительной защиты информации, которая озвучивается на многочисленных совещаниях, информации, содержащейся в «бумажных» делах и учетах, информации, передаваемой с помощью систем связи и т.д., поскольку вся эта информация явно не является содержимым каких-либо банков данных. Представляется, что устранение комментируемой неточности правовых норм возможно при изменении законодательного определения термина «информационная система», расширяющего его содержание, или за счет использования в тексте закона, как это предложено, «дополнительного» нормативного термина сферы защиты информации — объект информатизации. Приведем ряд замечаний к части 1 статьи 16 закона, определяющей термин «защита информации». В соответствии с этой частью статьи: «Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
ф обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; ф соблюдения конфиденциальности информации ограниченного доступа; 0 реализацию права на доступ к информации».
Из текста пункта 1 нормы следует, что защита информации должна осуществляться только в целях предотвращения последствий неправомерного обращения с информацией. В свою очередь, из этого утверждения, в частности, может быть сделан один из следующих парадоксальных выводов. Вывод первый — информация не подлежит защите от угроз, не являющихся неправомерными: пожара, потопа, отказов технических средств, ошибок или неграмотных действий легальных пользователей и т.п.
Вывод второй — возможно, закон не против того, чтобы оберегать информацию от таких угроз, однако, соответствующая деятельность не называется защитой информации. Очевидно, ни первый, ни второй вывод не предусматривался законодателем. Кроме того, представляется, что конструкция «обеспечение защиты информации от . блокирования . », использованная в пункте 1, недостаточно корректна. Очевидно, блокировать можно не информацию, а только доступ к информации. Пункт 2 статьи устанавливает необходимость «соблюдения конфиденциальности информации ограниченного доступа». Из законодательного определения «конфиденциальность информации» следует, что нарушить ее может только «второе» лицо, если передаст соответствующую информацию «третьим» лицам без согласия обладателя. Очевидно, подобные действия являются неправомерным предоставлением информации, поскольку «предоставление информации — действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц» (ст. 2, ч. 8). Однако угроза неправомерного предоставления информации уже включена в текст пункта 1 статьи. Следовательно, пункт 2 в тексте нормы является лишним.
Содержание пункта 3 несколько исправляет положение с декларацией угроз безопасности информации пункта 1 нормы. Действительно, достижение цели защиты информации, определенной пунктом 3, — реализация права на доступ к информации — частично предусматривает защиту информации от угроз случайных воздействий. Однако предусматривает защиту только от угроз случайного уничтожения информации, поскольку только в этом случае право на доступ к информации не может быть реализовано. Угрозы случайного «модифицирования, ... копирования, предоставления, распространения», очевидно, права на доступ к информации не нарушают, а значит, по-прежнему не учитываются законом. Итак, комментируемая норма закона подтвердила известное теоретическое положение о трех возможных направлениях защиты информации: правовом, организационном и техническом.
Кроме того, законодатель попытался определить задачи защиты информации перечислением возможных угроз и, как представляется, запутавшись в природе их возникновения. Очевидно, защита информации должна осуществляться и от неправомерных целенаправленных и случайных, и ошибочных воздействий, последствий стихийных и техногенных катастроф и т.п., то есть от любых умышленных и неумышленных деструктивных действий. При этом задачами защиты информации являются предупреждение непредусмотренного изменения или уничтожения части или всей информации, то есть обеспечение ее целостности, сохранение тайны информации ограниченного доступа и обеспечение доступности информации для легального пользователя или обеспечение установленного порядка доступа. В связи с этим, может быть предложена следующая редакция комментируемой нормы:
«Защита информации представляет, собой принятие правовых, организационных и технических мер по нейтрализации любых деструктивных действий в целях сохранения целостности информации, тайны информации ограниченного доступа и установленного порядка доступа».
Представим краткий анализ определения введенного Федеральным законом термина «конфиденциальность информации».
В соответствии с законом «конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя» (ст. 2, ч. 7). Как уже отмечалось, из определения следует, что нарушить конфиденциальность информации может только «второе» лицо, если передаст соответствующую информацию «третьим» лицам без согласия обладателя. Если же неправомерный доступ к информации осуществят сами «третьи» лица либо само «второе» лицо является инсайдером, то, очевидно, конфиденциальность информации, а значит и ее безопасность согласно определению не будут нарушены. Более того, совершенно неясно, как классифицировать ситуацию, если сам обладатель, с согласия или без согласия
с самим собой передаст эти сведения первому встречному, то есть в терминах закона — «третьему» лицу. Наверное, определение, анализ которого допускает подобные выводы, ошибочно. Отметим также, что слово «требование», использованное в определении термина «конфиденциальность информации», означает «правило, условие, обязательное для выполнения» [8]. В связи с этим уточнение закона относительно обязательного для выполнения требования является тавтологией: требование всегда предполагает обязательность. Упомянем еще одно негативное обстоятельство, связанное с введенным термином и его законодательным определением.
В терминах отмененного Федерального закона Российской Федерации «Об информации, информатизации и защите информации», действующего Указа Президента Российской Федерации №188 1997 г. «Об утверждении перечня сведений конфиденциального характера», ряда других федеральных законов понятие «конфиденциальная информация» обозначало и обозначает одну из двух составляющих информации ограниченного доступа, не являющуюся государственной тайной. В терминах действующего Федерального закона Российской Федерации «Об информации, информационных технологиях и о защите информации» понятие «конфиденциальность информации» применимо к любой информации ограниченного доступа. Оно применимо и к сведениям, составляющим государственную тайну, и к персональным данным, и к сведениям, образующим профессиональную, служебную, коммерческую и т.п. тайну. Таким образом, по крайней в этой части закон уже длительное время противоречит другим законодательным и подзаконным нормативным актам. Более того, понятие «конфиденциальность информации» обоснованно может использоваться и в отношении общедоступной информации, предоставляемой по соглашению лиц, участвующих в соответствующих отношениях. Очевидно, например, что соблюдение авторского и смежных прав, в частности, предполагает не только ограничение доступа, в том числе и к общедоступной информации, но и защиту соответствующей информации от неправомерного получения, то есть
обеспечение ее конфиденциальности. В этом контексте часть 3 статьи 16, устанавливающая, что «требования о защите общедоступной информации могут устанавливаться только для достижения . » ее целостности и доступности, но не «соблюдения конфиденциальности», представляется ошибочной. Статья 17 Федерального закона озаглавлена: «Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации».
Напомним, что закон определяет термин «информация» как сведения (сообщения, данные) независимо от формы их представления. Очевидно, такое определение не позволяет трактовать использованную в названии статьи конструкцию «сфера информации» иначе, чем «куча» информации. По всей видимости, никакие общественные отношения в массиве информации возникнуть не могут, и, следовательно, не могут быть нарушены никакие установленные правом отношения, то есть, совершены правонарушения. По этой причине подобная конструкция представляется недостаточно корректной. Известно, что в современной литературе широкое распространение получил термин «информационная сфера общества», в котором дополнение «общество» часто опускается. Например, в Доктрине информационной безопасности Российской Федерации под информационной сферой понимается совокупность информации, субъектов информационной деятельности, ее нормативное регулирование и средства и системы информатизации. С учетом этого, предлагается следующая редакция названия статьи 17: «Ответственность за правонарушения в информационной сфере, в том. числе в сфере применения, информационных технологий и защиты, информации». Статья 17 включает три части, приведем текст ее второй части. «Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой
репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица».
Второе предложение второй части статьи определяет два условия, при которых невозможно возмещение убытков из-за неправомерного использования информации ограниченного доступа в случае ее разглашения. Во-первых, норма устанавливает, что лицо, не принимавшее обязательных мер по соблюдению конфиденциальности информации, не может требовать возмещения убытков, в случае если произошло разглашение информации ограниченного доступа. Напомним, что в терминах закона конфиденциальность информации — это требование ее обладателя ко «вторым» лицам не передавать информацию «третьим» лицам. Используя определение, рассмотрим возможные альтернативы. Если тезис нормы имеет в виду обладателя информации, то, очевидно, что никаких мер, кроме изоляции «вторых» лиц, он не может принять для соблюдения конфиденциальности информации. Однако эта альтернатива абсурдна. Если тезис нормы имеет в виду «вторых» лиц, то единственной мерой соблюдения конфиденциальности информации выступает неразглашение этими лицами доверенной им информации. Если «вторые» лица все же передали информацию «третьим» лицам, то есть, фактически, совершили правонарушение, то их требование о возмещении соответствующих убытков также абсурдно. По всей видимости, в ходе конструирования нормы законодатель попал в капкан изобретенного им термина «конфиденциальность информации» и его сомнительной дефиниции. Вторым условием невозможности возмещения убытков норма определяет нарушение истцом установленного законодательством «... требования о защите информации, если ... соблюдение таких требований являлись обязанностями данного лица». Как и ранее, неточность этого тезиса, на наш взгляд, заключает-
ся в использовании оборота «требования о защите информации», не предполагающего обеспечения необходимого качества защиты. Наверное, условием невозможности возмещения убытков должно стать не только невыполнение требования о защите информации, но и необеспечение требуемого нормативными документами уровня защиты. В результате, представляется, что рассматриваемую норму целесообразно изложить в следующей редакции: «Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим. мер для. сохранения тайны, информации ограниченного доступа или нарушившим установленные законодательством. Российской Федерации требования к защите информации, если, принятие этих мер и. соблюдение таких требований являлись обязанностями данного лица»Щ
Литература
1. Об информации, информационных технологиях и о защите информации. Федеральный закон Российской Федерации №149-ФЗ от. 27 июля. 2006 г., ст. 16, ч. 2.
2. Конституция. Российской Федерации, ст.. 23, 25, 29.
3. Специальные требования, и рекомендации по технической защите конфиденциальной информации (СТР-К). / Руководящий документ. — М.: ГТК при Президенте Российской Федерации, 2002. — Раздел «Общие положения». — пункт. 2.3.
4. О персональных данных. Федеральный закон Российской Федерации № 152-ФЗ от 27 июля. 2006 г., ст. 19, ч. 2.
5. О государственной тайне. Закон Российской Федерации от. 21 июня. 1993 года, ст.. 27, ч. 3.
6. Защита информации. Объект, информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р 51275-2006.
7. О полиции. Федеральный закон Российской Федерации №3-ФЗ от. 7 февраля. 2011 г., ч. 4, ст.. 17.
8. Ожегов С.И. Словарь русского языка.
— М.: Советская, энциклопедия. 1972.
- С. 742.
