Защита юридической информации сети интернет
Обеспечение информационной безопасности в юридической фирме
Алексей Мороз, управляющий партнер АБ «Эксиора», г. Москва
Общие положения о защите информации закреплены в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Кроме того, ряд специальных законов регулирует отношения, связанные с защитой отдельных видов информации: государственной тайны (Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне»), коммерческой тайны (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»), банковской тайны (Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»), налоговой тайны (статья 102 НК РФ), тайны совершения нотариальных действий (Основы законодательства РФ о нотариате, утв. ВС РФ 11.02.1993 № 4462-1), тайны усыновления (статья 139 СК РФ), врачебной тайны (Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»), персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных») и др.
Положения о защите адвокатской тайны, то есть любых сведений, связанных с оказанием адвокатом юридической помощи своему доверителю, закреплены в статье 8 Федерального закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в РФ»).
За нарушение законодательства о защите информации установлена административная (глава 13 КоАП РФ) и уголовная (статьи 183, 185, 272-274, 283-284, 138, 155 УК РФ) ответственность.
Таким образом, российское законодательство в сфере обеспечения информационной безопасности является достаточно полным и соответствует современным требованиям. Однако наличие эффективных правовых инструментов обеспечения информационной безопасности ни в коем случае не отменяет необходимости использования технических и организационных средств защиты.
Юридические фирмы, безусловно, должны уделять защите информации самое пристальное внимание, используя весь комплекс имеющихся в наличии средств. Защитить информацию, хранящуюся в юридической фирме в электронном виде, помогает использование различных программных и аппаратных средств защиты. Это ограничение физического доступа к источникам хранения информации извне, шифрование сетевых сообщений, использование брандмауэров в неизолированных сетях, применение современных систем контроля и управления доступом к данным и др.
Защитить клиентскую информацию, содержащуюся в бумажных документах, позволяет использование комплекса мер организационного характера. Например, полученные от клиентов оригиналы документов могут храниться не в офисе юридической фирмы, а в отдельном, специально оборудованном для этих целей помещении, доступ в которое имеет очень ограниченное число проверенных сотрудников.
Для проведения конфиденциальных переговоров в офисе юридической фирмы также может быть оборудовано специально защищенное помещение, исключающее возможность несанкционированной записи переговоров как внутри этого помещения, так и извне.
Наиболее уязвимый элемент в системе защиты информации – это ее пользователь, поэтому человеческий фактор в организации системы информационной безопасности необходимо учитывать в первую очередь.
Несанкционированный доступ к конфиденциальной информации может явиться как следствием банальной халатности сотрудников (например, использование личной электронной почты для пересылки служебной информации, подключение к компьютерной сети внешних накопителей информации без предварительной проверки на наличие вредоносных программ и т.п.), так и следствием умышленных действий (инсайда).
Злоумышленники, пытающиеся получить доступ к конфиденциальной информации, используют весь арсенал методов спецслужб, поэтому предотвращение таких атак является достаточно сложной, но вполне выполнимой задачей. Например, одним из способов получения несанкционированного доступа к конфиденциальной информации может являться внедрение сотрудника в трудовой коллектив, а одной из мер противодействия такому способу – ограничение количества размещаемых фирмой прямых вакансий и наем персонала с помощью кадровых агентств.
Конечно, тотальный контроль за работой с конфиденциальной информацией со стороны руководства юридической фирмой может вызывать некоторый дискомфорт у ее сотрудников, которые в подобных мерах могут видеть угрозу своему личному пространству. Поэтому важной задачей является формирование в корпоративной культуре общих ценностей с тем, чтобы каждый сотрудник искренне считал соблюдение конфиденциальности своим профессиональным долгом.
Источник: эж-Юрист. Сентябрь 2016. № 35 (937).
Защита юридической информации сети интернет
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)
5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.