Статья 13.12 КоАП РФ. Нарушение правил защиты информации

О лицензировании отдельных видов деятельности в области защиты информации см. п. 4 комментария к ст. 13.11.

Согла п. 1 ст. 21 Федерального закона "Об информации, информатизации и защите информации" защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим защиты информации устанавливается:

• в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на овании Закона РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне" (в ред. Федерального закона от 6 октября 1997 г. N 131-ФЗ);
• в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на овании Федерального закона "Об информации, информатизации и защите информации";
• в отношении персональных данных - федеральным законом.

К документированной информации (документу) по смыслу Федерального закона "Об информации, информатизации и защите информации" относится зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Целями защиты информации являются:

• предотвращение утечки, хищения, утраты, искажения, подделки информации;
• предотвращение угрозы безопасти личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
• сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Права и обязанности юридических, физических лиц в области защиты информации, а также защита права на доступ к информации определены соответственно ст. 22, 24 Федерального закона "Об информации, информатизации и защите информации".

Согла ст. 2 вышеназванного Федерального закона под информационной системой понимается организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих процессы сбора, обработки, накопления, хранения, поиска и распространения информации (информационные процессы).

В соответствии с Законом РФ от 23 сентября 1992 г. N 3523-1 "О правовой охране программ для электронных вычислительных машин и баз данных" программа для ЭВМ - это объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата. Под программой для ЭВМ подразумевся также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения. Программы для ЭВМ, используемые или создаваемые при проектировании информационных систем и обеспечивие их эксплуатацию, относятся к средствам обеспечения автоматизированных информационных систем и их технологий.

Согла ст. 19 Федерального закона "Об информации, информатизации и защите информации" информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Федеральным законом "О техническом регулировании" (см. п. 1, 2 комментария к ст. 13.6, а также п. 7 комментария к данной статье).

Информационные системы органов государственной власти РФ и органов государственной власти субъектов РФ, других государственных органов, организаций, которые обрабатыв документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством РФ. О статусе информации с ограниченным доступом см. комментарий к ст. 13.14.

О лицензировании отдельных видов деятельности в области защиты информации в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности" см. п. 4 комментария к ст. 13.11. О статусе информации, составляющей государственную тайну, а также о лицензировании проведения работ, связанных с использованием и защитой информации, составляющей государственную тайну, в соответствии с Законом РФ "О государственной тайне" см. комментарий к ст. 13.13.

Согла ст. 28 Закона РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне" (в ред. Федерального закона от 6 октября 1997 г. N 131-ФЗ, с изменениями, внесенными Постановлением Конституционного Суда РФ от 27 марта 1996 г. N 8-П) средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Организация сертификации средств защиты информации возлагается на Гостехкомиссию России, ФСБ, Минобороны в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на овании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ.

Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.

Применительно к Закону РФ "О государственной тайне" под средствами защиты информации понимся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

А. Согла ст. 2 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании":

под сертификацией понимается форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров;

сертификатом соответствия является документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов или условиям договоров;

под системой сертификации понимается совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом (о статусе национального и иных стандартов, установленных указанным Федеральным законом, см. п. 1, 2 комментария к ст. 9.4).

Федеральным законом "О техническом регулировании" вышеуказанные понятия определяются следующим образом:

орган по сертификации - юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации;

оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту;

подтверждение соответствия - документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;

технический регламент - документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента РФ, или постановлением Правительства РФ и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; статус общих технических регламентов и специальных технических регламентов установлен ст. 8 Федерального закона "О техническом регулировании");

форма подтверждения соответствия - определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.

Б. Согла ст. 20, 21 Федерального закона "О техническом регулировании" подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.

Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.

Обязательное подтверждение соответствия осуществляется в формах:

принятия декларации о соответствии (декларирование соответствия);

обязательной сертификации.

Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, стандартам организаций, системам добровольной сертификации, условиям договоров.

Объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых стандартами, системами добровольной сертификации и договорами устанавлився требования.

Орган по сертификации:

осуществляет подтверждение соответствия объектов добровольного подтверждения соответствия;

выдает сертификаты соответствия на объекты, прошедшие добровольную сертификацию;

предоставляет заявителям право на применение знака соответствия, если применение знака соответствия предусмотрено соответствующей системой добровольной сертификации;

приостанавливает или прекращает действие выданных им сертификатов соответствия.

В соответствии с п. 1, 2 ст. 23 Федерального закона "О техническом регулировании" обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.

Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории РФ.

Форма и схемы обязательного подтверждения соответствия могут устанавливаться только техническим регламентом с учетом степени риска недостижения целей технических регламентов.

Применительно к рассматриваемому Федеральному закону под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда.

Согла п. 1, 2 ст. 25, п. 1 ст. 26 Федерального закона "О техническом регулировании" обязательная сертификация осуществляется органом по сертификации, аккредитованным в порядке, установленном Правительством РФ, на овании договора с заявителем. Схемы сертификации, применяемые для сертификации определенных видов продукции, устанавлився соответствующим техническим регламентом.

Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации.

В. В соответствии с п. 2, 3 ст. 4 Федерального закона "О техническом регулировании" положения федеральных законов и иных нормативных правовых актов РФ, касиеся сферы применения указанного Федерального закона (в том числе прямо или косвенно предусматривие осуществление контроля (надзора) за соблюдением требований технических регламентов), применяются в части, не противоречащей данному Федеральному закону.

Федеральные органы исполнительной власти вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных ст. 5 Федерального закона "О техническом регулировании", которой определены особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.

Г. Согла ст. 5 Федерального закона "О техническом регулировании" в случае отсутствия требований технических регламентов в отношении оборонной продукции (работ, услуг), поставляемой для федеральных государственных нужд по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, обязательными являются требования к продукции, ее характеристикам и требования к процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, установленные федеральными органами исполнительной власти, являющимися в пределах своей компетенции государственными заказчиками оборонного заказа, и (или) государственным контрактом.

Порядок разработки, принятия и применения документов о стандартизации в отношении указанной продукции (работ, услуг) устанавливается Правительством РФ.

Оценка соответствия, в том числе государственный контроль (надзор) за соблюдением обязательных требований к указанной продукции (работам, услугам), осуществляется в порядке, установленном Правительством РФ.

Обязательные требования к указанной продукции (работам, услугам) не должны противоречить требованиям технических регламентов.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации подлежат обязательной сертификации в соответствии с Положением о сертификации средств защиты информации, утвержденным Постановлением Правительства РФ от 26 июня 1995 г. N 608 (в ред. Постановления Правительства РФ от 29 марта 1999 г. N 342). Сертификация указанных средств проводится в рамках систем сертификации средств защиты информации.

Система сертификации средств защиты информации (далее - система сертификации) представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам.

Системы сертификации создся Гостехкомиссией России, ФСБ, Минобороны, СВР, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами РФ.

Согла п. 7 Положения изготовители вправе производить (реализовывать) средства защиты информации только при наличии сертификата. Порядок получения сертификата установлен п. 8 - 9 Положения, условия приостановления действия сертификата или его аннулирования определены п. 10 Положения.

Согла Доктрине информационной безопасти Российской Федерации, утвержденной Президентом РФ 9 сентября 2000 г. (N Пр-1895), угрозой безопасти информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, может являться использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры.

Применительно к ч. 2 и 4 комментируемой статьи следует иметь в виду, что обязательная сертификация информационных систем, баз и банков данных и (или) средств защиты информации относится к лицензионным требованиям и условиям при осуществлении деятельности по технической защите конфиденциальной информации (см. п. 4 комментария к ст. 13.11, подп. "в" п. 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации).

Представление в лицензирующий орган перечня шифровальных (криптографических) средств, используемых при осуществлении лицензируемой деятельности (с предоставлением по запросу технической документации и (или) образцов шифровальных (криптографических) средств, которые не имеют сертификата федерального органа исполнительной власти, уполномоченного в области правительственной связи и информации (о реорганизации управления в указанной области см. п. 1 комментария к ст. 23.45)), относится к лицензионным требованиям и условиям, установленным подп. "в" п. 5 Положения о лицензировании деятельности по распространению шифровальных (криптографических) средств; подп. "в" п. 6 Положения о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств; подп. "в" п. 6 Положения о лицензировании предоставления услуг в области шифрования информации, утвержденных Постановлением Правительства РФ от 23 сентября 2002 г. N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами".

Согла подп. "з" п. 6 Положения о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, утвержденного Постановлением Правительства РФ от 23 сентября 2002 г. N 691, к лицензионным требованиям и условиям при осуществлении лицензируемой деятельности относится использование криптографических алгоритмов, утвержденных в качестве государственных стандартов или определенных соответствующими перечнями, утвержденными Правительством РФ.

Применительно к указанным положениям о лицензировании к шифровальным (криптографическим) средствам относятся:

а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;

б) средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивие на ове криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на ове таких операций;

д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

е) ключевые документы (независимо от вида носителя ключевой информации).

Таким образом, шифровальные (криптографические) средства, указанные в подп. "а" и "б", в зависимости от целей их использования являются техническими средствами защиты информации, составляющей государственную тайну (ч. 4 комментируемой статьи), либо предназначся для защиты иной информации (см. ч. 2 рассматриваемой статьи).

Согла п. 1 Определения Конституционного Суда РФ от 10 ноября 2002 г. по жалобе гражданина Ю.П. Романова на нарушение его конституционных прав ст. 21 и 21.1 Закона РФ "О государственной тайне" (в ред. от 6 октября 1997 г.) допуск должностных лиц и граждан к государственной тайне осуществляется в добровольном порядке по решению руководителя органа государственной власти, предприятия, учреждения или организации после проведения соответствующих проверочных мероприятий. Из этого общего правила ст. 21.1 того же Закона предусмотрено исключение для отдельных категорий должностных лиц и граждан, в частности для адвокатов, участвующих в качестве защитников в уголовном судопроизводстве по делам, связанным со сведениями, составляющими государственную тайну, - они допускся к указанным сведениям без проведения проверочных мероприятий, предусмотренных ст. 21.

В соответствии со ст. 5 Федерального закона от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" создание ключей электронных цифровых подписей осуществляется для использования в:

• информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;
• корпоративной информационной системе в порядке, установленном в этой системе.

При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством РФ.

Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления квалифицируется по ч. 2 комментируемой статьи.

Применительно к указанному Федеральному закону под электронной цифровой подписью понимается реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Под сертификатом средств электронной цифровой подписи понимается документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.

Согла ст. 3 Федерального закона "Об электронной цифровой подписи" под информационной системой общего пользования понимается информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано; под корпоративной информационной системой подразумевается информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, квалифицируется как преступление в сфере компьютерной информации (ч. 1 ст. 272 УК). Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, квалифицируется как преступление (ч. 1 ст. 274 УК).

См. примечание к п. 5 комментария к ст. 5.1.

Дела об административных правонарушениях рассматрився:

а) предусмотренных ч. 1, 2 комментируемой статьи - должностными лицами ФСБ и Гостехкомиссии России, указанными в подп. "б" данного пункта комментария (см. п. 2, 3 ч. 2 ст. 23.46 КоАП);

б) предусмотренных ч. 3, 4 комментируемой статьи, в соответствии со ст. 23.45 КоАП:

• директором ФСБ, его заместителями, руководителями территориальных органов ФСБ, их заместителями;
• министром обороны, его заместителями;
• директором СВР, его заместителями;
• председателем Гостехкомиссии России, его заместителями, руководителями региональных центров Гостехкомиссии России, их заместителями;

в) предусмотренных ч. 3 комментируемой статьи, по смыслу п. 6 ч. 2 ст. 23.45 КоАП - руководителями структурных подразделений ФСБ, Минобороны, СВР и Гостехкомиссии России, к ведению которых отнесено лицензирование видов деятельности, связанных с использованием и защитой сведений, составляющих государственную тайну (см. п. 4 комментария к ст. 13.11, п. 3 комментария к ст. 13.13).

В соответствии с ч. 2 ст. 23.1 КоАП должностные лица, указанные в подп. "б" данного пункта комментария, вправе передавать дела об административных правонарушениях, предусмотренных ч. 2 и 4 комментируемой статьи, на рассмотрение судьям (см. п. 6 комментария к ст. 13.11).