Législation sur la protection des informations

En fournissant sécurité de l'information seule une approche intégrée peut apporter le succès. Nous avons déjà indiqué qu'afin de protéger les intérêts des sujets des relations d'information, il est nécessaire de combiner des mesures des niveaux suivants :

· Législatif;

· Administratif (commandes et autres actions de la direction des organisations associées aux systèmes d'information protégés) ;

· Procédure (mesures de sécurité centrées sur l'humain) ;

· Logiciel et matériel.

Le niveau législatif est le plus important pour assurer la sécurité de l'information. La plupart des gens ne commettent pas d'actes illégaux, non pas parce que c'est techniquement impossible, mais parce que c'est condamné et/ou puni par la société, parce qu'il n'est pas accepté de le faire.

On distinguera au niveau législatif deux groupes de mesures :

· Mesures visant à créer et à maintenir dans la société une attitude négative (y compris le recours à des sanctions) envers les violations et les contrevenants à la sécurité de l'information (appelons-les mesures restrictives) ;

· Diriger et coordonner les mesures qui contribuent à améliorer l'éducation de la société dans le domaine de la sécurité de l'information, en aidant au développement et à la diffusion des moyens de sécurité de l'information (mesures d'orientation créative).

Dans la pratique, les deux groupes de mesures sont d'égale importance, mais nous voudrions souligner l'aspect du respect conscient des règles et réglementations de la sécurité de l'information. Ceci est important pour tous les sujets des relations d'information, car il serait naïf de se fier uniquement à la protection des forces des forces de l'ordre. Cela est également nécessaire pour ceux dont les fonctions incluent de punir les contrevenants, car il est impossible de fournir des preuves dans les enquêtes et les procès sur des délits informatiques sans une formation spéciale.

La chose la plus importante (et probablement la plus difficile) au niveau législatif est de créer un mécanisme qui permet au processus d'élaboration des lois d'être aligné sur les réalités et les progrès des technologies de l'information. Les lois ne peuvent pas être en avance sur la vie, mais il est important que le décalage ne soit pas trop important, car dans la pratique, entre autres aspects négatifs, cela entraîne une diminution de la sécurité de l'information.

Actes juridiques usage général concernant les questions de sécurité de l'information

Conformément à l'article 24 de la Constitution, les autorités de l'État et les organes d'autonomie locale, leurs agents sont tenus de donner à chacun la possibilité de prendre connaissance des documents et matériels affectant directement ses droits et libertés, sauf disposition contraire de la loi.

L'article 41 garantit le droit à la connaissance des faits et des circonstances qui constituent une menace pour la vie et la santé humaines, l'article 42 - le droit à la connaissance d'informations fiables sur l'état de l'environnement.

En principe, le droit à l'information peut être réalisé au moyen des technologies du papier, mais dans les conditions modernes, le plus pratique et le plus pratique pour les citoyens est la création de serveurs d'informations par les autorités législatives, exécutives et judiciaires compétentes et le maintien de la disponibilité et de l'intégrité des informations qui leur sont présentées, c'est-à-dire en leur assurant (serveurs) la sécurité des informations.

L'article 23 de la Constitution garantit le droit au secret personnel et familial, au secret de la correspondance, des conversations téléphoniques, des messages postaux, télégraphiques et autres, l'article 29 - le droit de rechercher, de recevoir, de transmettre, de produire et de diffuser librement des informations de quelque manière que ce soit. L'interprétation moderne de ces dispositions inclut la garantie de la confidentialité des données, y compris dans le processus de leur transmission sur les réseaux informatiques, ainsi que l'accès aux moyens de protection de l'information.

Dans le Code civil Fédération Russe(dans notre présentation nous nous appuyons sur l'édition du 15 mai 2001) des concepts tels que les secrets bancaires, commerciaux et officiels apparaissent. Selon l'article 139, une information constitue un secret officiel ou commercial dans le cas où une information a une valeur commerciale réelle ou potentielle du fait qu'elle est inconnue de tiers, qu'elle n'est pas librement accessible sur une base légale, et le propriétaire de l'information prend des mesures pour protéger sa confidentialité. Cela implique, au minimum, des compétences en matière de sécurité de l'information et la disponibilité de moyens disponibles (et légaux) pour assurer la confidentialité.

Le Code pénal de la Fédération de Russie (tel que modifié le 14 mars 2002) est très avancé en termes de sécurité de l'information. Le chapitre 28 - "Délits dans le domaine de l'information informatique" - contient trois articles :

· Article 272. Accès illégal aux informations informatiques ;

· Article 273. Création, utilisation et diffusion malware pour ordinateurs;

· Article 274. Violation des règles d'exploitation des ordinateurs, des systèmes informatiques ou de leurs réseaux.

La première traite des atteintes à la confidentialité, la seconde - des logiciels malveillants, la troisième - des atteintes à l'accessibilité et à l'intégrité, qui ont entraîné la destruction, le blocage ou la modification d'informations informatiques protégées par la loi. Inclusion des questions d'accessibilité dans le champ d'application du Code pénal de la Fédération de Russie services d'information nous semble très opportun.

L'article 138 du Code pénal de la Fédération de Russie, protégeant la confidentialité des données personnelles, prévoit des sanctions en cas de violation du secret de la correspondance, des conversations téléphoniques, des messages postaux, télégraphiques ou autres. L'article 183 du Code pénal de la Fédération de Russie joue un rôle similaire pour les secrets bancaires et commerciaux.

Les intérêts de l'État en termes d'assurance de la confidentialité des informations sont pleinement exprimés dans la loi « sur les secrets d'État » (telle que modifiée le 6 octobre 1997). Elle définit les secrets d'État comme des informations protégées par l'État dans le domaine de ses activités militaires, de politique étrangère, économiques, de renseignement, de contre-espionnage et de recherche opérationnelle, dont la diffusion peut nuire à la sécurité de la Fédération de Russie. La définition des moyens de protection de l'information y est également donnée. Selon cette loi, il s'agit de moyens techniques, cryptographiques, logiciels et autres destinés à protéger les informations constituant un secret d'État ; moyens dans lesquels elles sont mises en œuvre, ainsi que des moyens de contrôle de l'efficacité de la protection de l'information. Soulignons l'importance de la dernière partie de la définition.

Loi "sur l'information, l'informatisation et la protection de l'information"

Fondateur parmi lois russes sur les questions de sécurité de l'information, la loi « sur l'information, l'informatisation et la protection de l'information » du 20 février 1995, n° 24-FZ (adoptée par la Douma d'État le 25 janvier 1995) devrait être envisagée. Il fournit des définitions de base et décrit les orientations pour l'élaboration de la législation dans ce domaine.

Pour citer certaines de ces définitions :

· Informations - informations sur des personnes, des objets, des faits, des événements, des phénomènes et des processus, quelle que soit la forme de leur présentation ;

· Informations documentées (document) - informations enregistrées sur un support matériel avec des détails qui permettent de l'identifier ;

· Processus d'information - les processus de collecte, de traitement, d'accumulation, de stockage, de recherche et de diffusion de l'information ;

· Système d'information - un ensemble organisé de documents (tableaux de documents) et de technologies de l'information, y compris l'utilisation de la technologie informatique et de la communication, réalisant des processus d'information ;

Ressources d'information - documents individuels et tableaux individuels de documents, documents et tableaux de documents dans systèmes d'information ah (bibliothèques, archives, fonds, banques de données, autres systèmes d'information) ;

· Informations sur les citoyens (données personnelles) - informations sur les faits, événements et circonstances de la vie d'un citoyen, permettant d'identifier son identité ;

· Informations confidentielles - informations documentées, dont l'accès est limité conformément à la législation de la Fédération de Russie ;

· Utilisateur (consommateur) d'informations - un sujet qui se tourne vers un système d'information ou un intermédiaire pour obtenir les informations dont il a besoin et les utilise.

Bien entendu, nous ne discuterons pas de la qualité des données dans la loi des définitions. Ne prêtons attention qu'à la souplesse de la définition des informations confidentielles, qui ne se limite pas aux informations constituant un secret d'État, ainsi qu'à la notion de données personnelles, qui pose les bases de la protection de ces dernières.

La loi identifie les objectifs de protection des informations suivants :

· Prévention des fuites, vols, pertes, distorsions, falsifications d'informations ;

· Prévention des menaces à la sécurité de l'individu, de la société, de l'État ;

· Prévention des actions non autorisées pour détruire, modifier, déformer, copier, bloquer des informations ;

· Prévention d'autres formes d'ingérence illégale dans les ressources d'information et les systèmes d'information, en garantissant le régime juridique des informations documentées en tant qu'objet de propriété ;

· Protection des droits constitutionnels des citoyens au maintien du secret personnel et de la confidentialité des données personnelles disponibles dans les systèmes d'information ;

· Conservation des secrets d'État, confidentialité des informations documentées conformément à la législation ;

Garantir les droits des sujets dans processus d'information et dans le développement, la production et l'application des systèmes d'information, des technologies et des moyens de leur soutien.

A noter que la Loi privilégie la préservation de la confidentialité des informations. L'intégrité est également présentée de manière assez complète, bien qu'à la deuxième place. Peu de choses ont été dites sur l'accessibilité ("empêcher les actions non autorisées de ... bloquer l'information").

Continuons à citer :

"Toute information documentée, dont la mauvaise gestion peut nuire à son propriétaire, possesseur, utilisateur et autre personne, est soumise à protection."

En effet, cette disposition précise que la protection de l'information vise à assurer les intérêts des sujets des relations d'information.

· En ce qui concerne les informations classées comme secret d'État - par les organismes autorisés sur la base de la loi de la Fédération de Russie « sur les secrets d'État » ;

· En ce qui concerne les informations confidentielles documentées - par le propriétaire des ressources d'information ou une personne autorisée sur la base de la présente loi fédérale ;

· En ce qui concerne les données personnelles - par la loi fédérale. "

Trois types d'informations protégées sont ici clairement distingués, dont le second comprend notamment les informations commerciales. Étant donné que seules les informations documentées font l'objet d'une protection, une condition préalable est la fixation des informations commerciales sur un support tangible et leur fourniture de détails. Notez que cette partie de la Loi ne concerne que la confidentialité ; d'autres aspects de la sécurité de l'information sont oubliés.

A noter que la protection des secrets d'Etat et des données personnelles est assurée par l'Etat ; pour un autre information confidentielle ses propriétaires sont responsables.

Comment protégez-vous vos informations ? En tant que loi fondamentale, elle offre à cet effet de puissants moyens universels : l'octroi de licences et la certification. Nous citerons l'article 19.

1. Les systèmes d'information, les bases de données et les banques de données destinés aux services d'information aux citoyens et aux organisations sont soumis à la certification de la manière prescrite par la loi de la Fédération de Russie "sur la certification des produits et services".

2. Systèmes d'information des autorités de l'État de la Fédération de Russie et des autorités de l'État des entités constitutives de la Fédération de Russie, d'autres organes de l'État, des organisations qui traitent des informations documentées provenant de accès limité, ainsi que les moyens de protection de ces systèmes font l'objet d'une certification obligatoire. La procédure de certification est déterminée par la législation de la Fédération de Russie.

3. Les organisations effectuant des travaux dans le domaine de la conception, de la production de produits de sécurité de l'information et du traitement des données personnelles reçoivent des licences pour ce type d'activité. La procédure de licence est déterminée par la législation de la Fédération de Russie.

4. Les intérêts du consommateur d'informations lors de l'utilisation de produits importés dans des systèmes d'information sont protégés par les autorités douanières de la Fédération de Russie sur la base de système international attestation.

Difficile ici de s'abstenir d'une question rhétorique : existe-t-il en Russie des systèmes d'information sans produits importés ? Il s'avère que dans ce cas, seule la douane se tient sur la protection des intérêts des consommateurs ...

Et quelques autres points, maintenant à partir de l'article 22 :

2. Le propriétaire des documents, un ensemble de documents, des systèmes d'information garantit le niveau de protection des informations conformément à la législation de la Fédération de Russie.

3. Le risque lié à l'utilisation de systèmes d'information non certifiés et des moyens de leur support incombe au propriétaire (possédant) de ces systèmes et moyens. Le risque associé à l'utilisation d'informations obtenues à partir d'un système non certifié incombe au consommateur de l'information.

4. Le propriétaire de documents, un ensemble de documents, des systèmes d'information peut demander aux organisations qui certifient des moyens de protection des systèmes d'information et des ressources d'information d'analyser l'adéquation des mesures de protection de leurs ressources et systèmes et de recevoir des conseils.

5. Le propriétaire de documents, d'un ensemble de documents, de systèmes d'information est tenu d'informer le propriétaire des ressources d'information et (ou) des systèmes d'information de tous les faits de violation du régime de protection de l'information.

Du point 5, il s'ensuit que toutes les attaques (réussies) contre l'EI doivent être détectées. Rappelons à cet égard l'un des résultats de l'enquête (voir leçon 1) : environ un tiers des sondés américains ne savaient pas si leur IP avait été piratée au cours des 12 derniers mois. Selon notre législation, ils pourraient être tenus pour responsables...

2. La protection des droits des sujets dans ce domaine est assurée par un tribunal, un tribunal arbitral, un tribunal arbitral, en tenant compte des spécificités des infractions et des dommages causés. Très importants sont les paragraphes de l'article 5 concernant la force juridique d'un document électronique et d'un signature numérique:

3. La force juridique d'un document stocké, traité et transmis à l'aide de systèmes automatisés d'information et de télécommunication peut être confirmée par une signature numérique électronique. La force juridique d'une signature numérique électronique est reconnue s'il existe des outils logiciels et matériels dans le système d'information automatisé qui assurent l'identification de la signature, et si le régime établi pour leur utilisation est respecté.

4. Le droit de certifier l'identité d'une signature numérique électronique s'exerce sur la base d'une licence. La procédure de délivrance des licences est déterminée par la législation de la Fédération de Russie.

Ainsi, la Loi offre un moyen efficace de contrôler l'intégrité et de résoudre le problème de la « non-répudiation » (l'impossibilité de refuser sa propre signature).

Ce sont les dispositions les plus importantes, à notre avis, de la loi "sur l'information, l'informatisation et la protection de l'information". La page suivante traitera d'autres lois de la Fédération de Russie dans le domaine de la sécurité de l'information.

La sécurité de l'information est un domaine scientifique qui étudie la protection des données d'une entreprise (gouvernementale ou commerciale) spécifique. Des spécialistes (auditeurs) vérifient les canaux d'information pour assurer la protection des données sensibles.

Tous les canaux de données classifiés sont vérifiés pour un niveau de protection suffisant. Si un spécialiste trouve une faille dans système de fichiers, il doit aviser immédiatement la direction de l'entreprise.

Les principales lois qui concernent le domaine de la sécurité de l'information :

... réglemente les relations entre les autorités publiques lors de la recherche d'informations importantes et assure la sécurité de l'information des données personnelles ;
... La loi fédérale réglemente les relations entre les autorités exécutives et détermine les modalités d'octroi des licences certains types Activités;
... La loi fédérale énumère les domaines d'activité dans lesquels une signature numérique électronique est utilisée afin d'assurer la sécurité de l'information. Par exemple : acheter des biens, fournir des services, etc. ;
... réglemente les relations qui surviennent dans la production de divers biens. La description des produits techniques doit correspondre à leurs caractéristiques réelles conformément aux dispositions relatives à la sécurité de l'information.

Il existe également la loi fédérale sur la sécurité 390. Détails

Adopté par la Douma d'État le 8 juillet 2006
Approuvé par le Conseil de la Fédération le 14 juillet 2006

Article 1. Champ d'application de cette loi fédérale

1. La présente loi fédérale réglemente les relations découlant :

1) l'exercice du droit de rechercher, de recevoir, de transférer, de produire et de diffuser des informations ;

2) l'utilisation des technologies de l'information ;

3) assurer la protection des informations.

2. Les dispositions de la présente loi fédérale ne s'appliquent pas aux relations découlant de la protection juridique des résultats de l'activité intellectuelle et des moyens d'individualisation qui y sont assimilés.

Article 2. Concepts de base utilisés dans cette loi fédérale

Les concepts de base suivants sont utilisés dans cette loi fédérale :

1) informations - informations (messages, données), quelle que soit la forme de leur présentation;

2) Informatique- les processus, méthodes de recherche, de collecte, de stockage, de traitement, de fourniture, de diffusion d'informations et les modalités de mise en œuvre de ces processus et méthodes ;

3) système d'information - un ensemble d'informations contenues dans des bases de données et des technologies de l'information et des moyens techniques assurant leur traitement ;

4) réseau d'information et de télécommunication - un système technologique conçu pour transmettre des informations sur des lignes de communication, dont l'accès s'effectue à l'aide de la technologie informatique ;

5) propriétaire de l'information - une personne qui a créé des informations de manière indépendante ou a reçu, sur la base d'une loi ou d'un accord, le droit d'autoriser ou de restreindre l'accès à l'information déterminé par n'importe quel critère ;

6) l'accès à l'information - la capacité d'obtenir des informations et de les utiliser ;

7) confidentialité des informations - une exigence obligatoire pour une personne qui a eu accès à certaines informations de ne pas transférer ces informations à des tiers sans le consentement de son propriétaire ;

8) fourniture d'informations - actions visant à obtenir des informations par un certain cercle de personnes ou à transférer des informations à un certain cercle de personnes ;

9) diffusion d'informations - actions visant à obtenir des informations par un cercle indéfini de personnes ou à transférer des informations à un cercle indéfini de personnes ;

10) message électronique - informations transmises ou reçues par l'utilisateur du réseau d'information et de télécommunication ;

11) informations documentées - informations enregistrées sur un support matériel en documentant des informations avec des détails qui permettent de déterminer ces informations ou, dans les cas établis par la législation de la Fédération de Russie, son support matériel ;

12) exploitant d'un système d'information - un citoyen ou une personne morale exerçant des activités pour le fonctionnement du système d'information, y compris le traitement des informations contenues dans ses bases de données.

Article 3. Principes de régulation juridique des relations dans le domaine de l'information, des technologies de l'information et de la protection de l'information

La réglementation juridique des relations nées dans le domaine de l'information, des technologies de l'information et de la protection de l'information repose sur les principes suivants :

1) la liberté de rechercher, de recevoir, de transférer, de produire et de diffuser des informations de quelque manière que ce soit ;

2) l'établissement de restrictions à l'accès à l'information uniquement par les lois fédérales ;

3) transparence de l'information sur les activités des organes de l'État et des organes de l'autonomie locale et libre accès à ces informations, à l'exception des cas établis par les lois fédérales ;

4) l'égalité des langues des peuples de la Fédération de Russie dans la création des systèmes d'information et leur fonctionnement ;

5) assurer la sécurité de la Fédération de Russie lors de la création des systèmes d'information, de leur fonctionnement et de la protection des informations qu'ils contiennent ;

6) la fiabilité de l'information et l'opportunité de sa fourniture ;

7) l'inviolabilité de la vie privée, l'inadmissibilité de la collecte, du stockage, de l'utilisation et de la diffusion d'informations sur la vie privée d'une personne sans son consentement ;

8) l'inadmissibilité d'établir par des actes juridiques réglementaires les avantages de l'utilisation de certaines technologies de l'information par rapport à d'autres, à moins que l'utilisation obligatoire de certaines technologies de l'information pour la création et le fonctionnement des systèmes d'information de l'État ne soit établie par les lois fédérales.

Article 4. Législation de la Fédération de Russie sur l'information, les technologies de l'information et la protection de l'information

1. La législation de la Fédération de Russie sur l'information, les technologies de l'information et sur la protection de l'information est basée sur la Constitution de la Fédération de Russie, les traités internationaux de la Fédération de Russie et se compose de la présente loi fédérale et d'autres lois fédérales régissant l'utilisation de l'information. .

2. La réglementation juridique des relations associées à l'organisation et aux activités des médias est effectuée conformément à la législation de la Fédération de Russie sur les médias.

3. La procédure de stockage et d'utilisation des informations documentées incluses dans les fonds d'archives est établie par la législation sur les affaires archivistiques dans la Fédération de Russie.

Article 5. L'information comme objet de relations juridiques

1. Les informations peuvent faire l'objet de relations publiques, civiles et autres relations juridiques. Les informations peuvent être librement utilisées par toute personne et transférées par une personne à une autre personne, à moins que les lois fédérales n'établissent des restrictions sur l'accès à l'information ou d'autres exigences pour la procédure de sa fourniture ou de sa diffusion.

2. Les informations, selon la catégorie d'accès à celles-ci, sont divisées en informations accessibles au public, ainsi qu'en informations dont l'accès est limité par les lois fédérales (informations d'accès limité).

3. L'information, selon la procédure de sa fourniture ou de sa diffusion, est divisée en :

1) informations librement diffusées ;

2) les informations fournies avec l'accord des personnes participant à la relation concernée ;

3) les informations qui, conformément aux lois fédérales, sont soumises à la fourniture ou à la distribution ;

4) les informations dont la diffusion dans la Fédération de Russie est restreinte ou interdite.

4. La législation de la Fédération de Russie peut établir les types d'informations en fonction de leur contenu ou de leur propriétaire.

Article 6. Détenteur des informations

1. Le propriétaire de l'information peut être un citoyen (individu), une personne morale, la Fédération de Russie, une entité constitutive de la Fédération de Russie, une formation municipale.

2. Au nom de la Fédération de Russie, une entité constitutive de la Fédération de Russie, une formation municipale, les pouvoirs du propriétaire de l'information sont exercés, respectivement, par les organes de l'État et les organes d'autonomie locale dans les limites de leurs pouvoirs établis par le actes juridiques réglementaires pertinents.

3. Le propriétaire des informations, sauf disposition contraire des lois fédérales, a le droit :

1) autoriser ou restreindre l'accès aux informations, déterminer la procédure et les conditions d'un tel accès ;

2) utiliser les informations, y compris les diffuser, à sa propre discrétion ;

3) transférer des informations à d'autres personnes en vertu d'un accord ou sur une autre base établie par la loi ;

4) protéger leurs droits de la manière établie par la loi en cas de réception illégale d'informations ou de leur utilisation illégale par d'autres personnes ;

5) effectuer d'autres actions avec information ou autoriser la mise en œuvre de telles actions.

4. Le propriétaire de l'information, lors de l'exercice de ses droits, est tenu de :

1) respecter les droits et intérêts légitimes d'autrui ;

2) prendre des mesures pour protéger les informations ;

3) restreindre l'accès à l'information, si une telle obligation est établie par les lois fédérales.

Article 7. Informations accessibles au public

1. Les informations accessibles au public comprennent les informations généralement connues et d'autres informations, dont l'accès n'est pas limité.

2. Les informations accessibles au public peuvent être utilisées par toute personne à sa discrétion, sous réserve des restrictions établies par les lois fédérales concernant la diffusion de ces informations.

3. Le propriétaire d'informations rendues publiques par sa décision a le droit d'exiger que les personnes diffusant ces informations s'identifient comme source de ces informations.

Article 8. Droit d'accès aux informations

1. Citoyens (individus) et organisations ( entités juridiques) (ci-après - les organisations) ont le droit de rechercher et d'obtenir toute information sous quelque forme et de toute source, sous réserve des exigences établies par le présent Loi fédérale et d'autres lois fédérales.

2. Un citoyen (individu) a le droit de recevoir des organes de l'État, des organes d'autonomie locale, de leurs fonctionnaires de la manière prescrite par la législation de la Fédération de Russie, des informations affectant directement ses droits et libertés.

3. Une organisation a le droit de recevoir des informations des organes de l'État, des organes d'autonomie locale qui se rapportent directement aux droits et obligations de cette organisation, ainsi que les informations nécessaires dans le cadre de l'interaction avec ces organes dans la mise en œuvre de ses activités statutaires par cette organisation.

4. Accès à :

1) actes juridiques réglementaires affectant les droits, libertés et devoirs d'une personne et d'un citoyen, ainsi que établissant Position juridique organisations et pouvoirs des organes de l'État, des organes d'autonomie locale ;

2) des informations sur l'état de l'environnement ;

3) des informations sur les activités des organes de l'Etat et des collectivités locales, ainsi que sur l'utilisation des fonds budgétaires (à l'exception des informations constituant un secret d'Etat ou officiel) ;

4) les informations accumulées dans les collections ouvertes des bibliothèques, musées et archives, ainsi que dans les systèmes d'information étatiques, municipaux et autres créés ou destinés à fournir ces informations aux citoyens (individus) et aux organisations ;

5) d'autres informations dont l'impossibilité de restreindre l'accès est établie par les lois fédérales.

5. Les organes de l'État et les organes d'autonomie locale sont tenus de fournir l'accès aux informations sur leurs activités en russe et dans la langue officielle de la république correspondante au sein de la Fédération de Russie conformément aux lois fédérales, aux lois des entités constitutives de la Fédération de Russie et actes juridiques réglementaires des organes de l'autonomie locale. Une personne qui souhaite avoir accès à de telles informations n'est pas obligée de justifier la nécessité de les obtenir.

6. Les décisions et actions (inaction) des organes de l'État et des organes d'autonomie locale, des associations publiques, des fonctionnaires qui violent le droit d'accès à l'information peuvent faire l'objet d'un recours devant un organe supérieur ou un fonctionnaire supérieur ou devant un tribunal.

7. Si, à la suite d'un refus illégal d'accès à l'information, d'une fourniture intempestive de celle-ci, de la fourniture d'informations délibérément inexactes ou d'informations ne correspondant pas au contenu de la demande, des pertes ont été causées, ces pertes font l'objet d'une indemnisation en conformément au droit civil.

8. Les informations sont fournies gratuitement :

1) sur les activités des organes de l'Etat et des collectivités locales affichées par ces organes dans les réseaux d'information et de télécommunication ;

2) affectant les droits et obligations de la personne intéressée établis par la législation de la Fédération de Russie;

3) autres informations spécifiées par la loi.

9. L'établissement de redevances pour la fourniture par un organisme public ou un organisme local autonome d'informations sur ses activités n'est possible que dans les cas et aux conditions fixés par les lois fédérales.

Article 9. Restreindre l'accès à l'information

1. La restriction de l'accès à l'information est établie par les lois fédérales afin de protéger les fondements de l'ordre constitutionnel, la moralité, la santé, les droits et les intérêts légitimes d'autrui, pour assurer la défense du pays et la sécurité de l'État.

2. Il est obligatoire de respecter la confidentialité des informations, dont l'accès est limité par les lois fédérales.

3. La protection des informations constituant un secret d'État est assurée conformément à la législation de la Fédération de Russie sur les secrets d'État.

4. Les lois fédérales établissent les conditions de classification des informations en tant qu'informations constituant un secret commercial, un secret officiel et d'autres secrets, l'obligation de maintenir la confidentialité de ces informations, ainsi que la responsabilité de leur divulgation.

5. Informations reçues par les citoyens ( personnes) dans l'exercice de leurs fonctions professionnelles ou par des organisations dans la mise en œuvre de certains types d'activités (secret professionnel), fait l'objet d'une protection dans les cas où ces personnes sont tenues par les lois fédérales de maintenir la confidentialité de ces informations.

6. Les informations constituant un secret professionnel peuvent être communiquées à des tiers conformément aux lois fédérales et (ou) par décision de justice.

7. Le délai d'exécution des obligations de préserver la confidentialité des informations constituant un secret professionnel ne peut être limité qu'avec le consentement du citoyen (individu) qui a fourni ces informations le concernant.

8. Il est interdit d'exiger d'un citoyen (individu) qu'il fournisse des informations sur sa vie privée, y compris des informations constituant un secret personnel ou familial, et de recevoir de telles informations contre la volonté du citoyen (individu), sauf disposition contraire des lois fédérales. .

9. La procédure d'accès aux données personnelles des citoyens (personnes physiques) est établie par la loi fédérale sur les données personnelles.

Article 10. Diffusion d'informations ou fourniture d'informations

1. En Fédération de Russie, la diffusion de l'information s'effectue librement sous réserve des exigences établies par la législation de la Fédération de Russie.

2. Les informations diffusées sans recourir aux médias de masse doivent comporter des informations fiables sur son propriétaire ou sur une autre personne diffusant des informations, sous une forme et en une quantité suffisantes pour identifier une telle personne.

3. Lorsqu'elle utilise pour la diffusion d'informations des moyens permettant de déterminer les destinataires des informations, y compris le courrier et les messages électroniques, la personne diffusant les informations est tenue de donner au destinataire des informations la possibilité de refuser ces informations.

4. La fourniture d'informations est effectuée conformément à la procédure établie par l'accord des personnes participant à l'échange d'informations.

5. Les cas et conditions de diffusion obligatoire d'informations ou de fourniture d'informations, y compris la fourniture de copies obligatoires de documents, sont établis par les lois fédérales.

6. Il est interdit de diffuser des informations visant à la propagande de guerre, à l'incitation à la haine et à l'hostilité nationales, raciales ou religieuses, ainsi que d'autres informations pour la diffusion desquelles la responsabilité pénale ou administrative est engagée.

Article 11. Documentation des informations

1. La législation de la Fédération de Russie ou l'accord des parties peut établir des exigences pour la documentation des informations.

2. Dans les organes exécutifs fédéraux, les informations sont documentées conformément à la procédure établie par le gouvernement de la Fédération de Russie. Les règles de travail de bureau et de flux de documents établies par d'autres organes de l'État, les organes d'autonomie locale relevant de leur compétence doivent se conformer aux exigences établies par le gouvernement de la Fédération de Russie en termes de travail de bureau et de flux de documents pour les organes exécutifs fédéraux.

3. Un message électronique signé avec une signature numérique électronique ou un autre analogue d'une signature manuscrite est reconnu comme un document électronique équivalent à un document signé avec une signature manuscrite, dans les cas où les lois fédérales ou d'autres actes juridiques réglementaires n'établissent ou n'impliquent pas de obligation de rédiger un tel document sur papier...

4. Aux fins de conclure des contrats de droit civil ou de formaliser d'autres relations juridiques auxquelles participent des personnes échangeant des messages électroniques, l'échange de messages électroniques, dont chacun est signé avec une signature numérique électronique ou un autre analogue de la signature manuscrite de l'expéditeur de un tel message, de la manière prescrite par les lois fédérales, d'autres actes juridiques réglementaires ou l'accord des parties, est considéré comme un échange de documents.

5. Propriété et autres droits de propriété sur médias tangibles contenant des informations documentées sont établies par le droit civil.

Article 12. Réglementation de l'État dans le domaine des applications des technologies de l'information

1. La réglementation de l'État dans le domaine des applications des technologies de l'information prévoit :

1) la réglementation des relations liées à la recherche, la réception, le transfert, la production et la diffusion d'informations à l'aide des technologies de l'information (informatisation), sur la base des principes établis par la présente loi fédérale ;

2) le développement de systèmes d'information à des fins diverses pour fournir des informations aux citoyens (individus), aux organisations, aux organes de l'État et aux gouvernements locaux, ainsi qu'à assurer l'interaction de ces systèmes ;

3) la création de conditions pour l'utilisation efficace des réseaux d'information et de télécommunication dans la Fédération de Russie, y compris l'Internet et d'autres réseaux d'information et de télécommunication similaires.

2. Organes de l'Etat, organes de l'autonomie locale conformément à leurs compétences :

1) participer à l'élaboration et à la mise en œuvre de programmes ciblés d'utilisation des technologies de l'information ;

2) créer des systèmes d'information et donner accès aux informations qu'ils contiennent en russe et dans la langue officielle de la république correspondante au sein de la Fédération de Russie.

Article 13. Systèmes d'information

1. Les systèmes d'information comprennent :

1) systèmes d'information de l'État - systèmes d'information fédéraux et systèmes d'information régionaux créés sur la base des lois fédérales, des lois des entités constitutives de la Fédération de Russie, respectivement, sur la base des actes juridiques des organes de l'État ;

2) les systèmes d'information municipaux créés sur la base d'une décision du gouvernement local ;

3) autres systèmes d'information.

2. Sauf disposition contraire des lois fédérales, l'exploitant du système d'information est le propriétaire des moyens techniques utilisés pour traiter les informations contenues dans les bases de données, qui utilise licitement ces bases de données, ou la personne avec laquelle ce propriétaire a conclu un accord sur le fonctionnement du système d'information.

3. Les droits du propriétaire des informations contenues dans les bases de données du système d'information sont protégés indépendamment du droit d'auteur et des autres droits sur ces bases de données.

4. Les exigences relatives aux systèmes d'information de l'État établies par la présente loi fédérale s'appliquent aux systèmes d'information municipaux, sauf disposition contraire de la législation de la Fédération de Russie sur l'autonomie locale.

5. Les caractéristiques de fonctionnement des systèmes d'information de l'État et des systèmes d'information municipaux peuvent être établies conformément aux règlements techniques, aux actes juridiques réglementaires des organes de l'État, aux actes juridiques réglementaires des organes des collectivités locales qui prennent des décisions sur la création de tels systèmes d'information.

6. La procédure de création et d'exploitation de systèmes d'information qui ne sont pas des systèmes d'information d'État ou des systèmes d'information municipaux est déterminée par les exploitants de ces systèmes d'information conformément aux exigences établies par la présente loi fédérale ou d'autres lois fédérales.

Article 14. Systèmes d'information de l'État

1. Les systèmes d'information de l'État sont créés dans le but d'exercer les pouvoirs des organes de l'État et d'assurer l'échange d'informations entre ces organes, ainsi qu'à d'autres fins établies par les lois fédérales.

2. Les systèmes d'information de l'État sont créés en tenant compte des exigences stipulées par la loi fédérale du 21 juillet 2005 N 94-FZ "Sur la passation de commandes pour la fourniture de biens, l'exécution de travaux, la fourniture de services pour les besoins de l'État et des communes".

3. Les systèmes d'information de l'État sont créés et exploités sur la base d'informations statistiques et autres informations documentées fournies par les citoyens (individus), les organisations, les organes de l'État, les organes d'autonomie locale.

4. Les listes des types d'informations fournies à titre obligatoire sont établies par les lois fédérales, les conditions de leur fourniture - par le gouvernement de la Fédération de Russie ou les organismes publics compétents, sauf disposition contraire des lois fédérales.

5. Sauf disposition contraire établie par une décision portant création d'un système d'information de l'État, les fonctions de son exploitant sont exercées par le client qui a conclu un contrat avec l'État pour la création d'un tel système d'information. Dans ce cas, la mise en service du système d'information de l'état est effectuée de la manière prescrite par le client spécifié.

6. Le gouvernement de la Fédération de Russie a le droit d'établir des exigences obligatoires pour la procédure de mise en service de certains systèmes d'information de l'État.

7. L'exploitation du système d'information de l'État n'est pas autorisée sans un enregistrement approprié des droits d'utilisation de ses composants, qui sont des objets de propriété intellectuelle.

8. Moyens techniques destinés au traitement des informations contenues dans les systèmes d'information de l'État, y compris les logiciels et moyens techniques et les moyens de protection de l'information doivent être conformes aux exigences de la législation de la Fédération de Russie sur la réglementation technique.

9. Les informations contenues dans les systèmes d'information de l'État, ainsi que les autres informations et documents à la disposition des organes de l'État sont ressources d'information.

Article 15. Utilisation des réseaux d'information et de télécommunication

1. Sur le territoire de la Fédération de Russie, l'utilisation des réseaux d'information et de télécommunication est effectuée conformément aux exigences de la législation de la Fédération de Russie dans le domaine des communications, de la présente loi fédérale et d'autres actes juridiques réglementaires de la Fédération de Russie .

2. La réglementation de l'utilisation des réseaux d'information et de télécommunication, dont l'accès n'est pas limité à un certain cercle de personnes, est appliquée dans la Fédération de Russie, compte tenu de la pratique internationale généralement acceptée des activités des organismes d'autoréglementation en cette zone. La procédure d'utilisation d'autres réseaux d'information et de télécommunication est déterminée par les propriétaires de ces réseaux, en tenant compte des exigences établies par la présente loi fédérale.

3. L'utilisation sur le territoire de la Fédération de Russie des réseaux d'information et de télécommunication dans le cadre d'activités économiques ou autres ne peut servir de base à l'établissement d'exigences ou de restrictions supplémentaires concernant la réglementation de ces activités menées sans l'utilisation de ces réseaux, ainsi que quant au non-respect des exigences établies par les lois fédérales.

4. Les lois fédérales peuvent prévoir l'identification obligatoire d'une personne, d'organisations utilisant un réseau d'information et de télécommunications dans la mise en œuvre d'activités entrepreneuriales. Dans ce cas, le destinataire e-mail, situé sur le territoire de la Fédération de Russie, a le droit d'effectuer un contrôle, qui permet d'identifier l'expéditeur d'un message électronique, et dans les cas établis par les lois fédérales ou par accord des parties, il est obligé d'effectuer un tel chèque.

5. Le transfert d'informations par l'utilisation des réseaux d'information et de télécommunication s'effectue sans restrictions, à condition que les exigences établies par les lois fédérales pour la diffusion d'informations et la protection de la propriété intellectuelle soient respectées. Le transfert d'informations ne peut être limité que de la manière et aux conditions fixées par les lois fédérales.

6. Les spécificités de la connexion des systèmes d'information de l'État aux réseaux d'information et de télécommunication peuvent être établies par un acte juridique réglementaire du Président de la Fédération de Russie ou un acte juridique réglementaire du gouvernement de la Fédération de Russie.

Article 16. Protection des informations

1. La protection de l'information est l'adoption de mesures juridiques, organisationnelles et techniques visant à :

1) assurer la protection des informations contre l'accès non autorisé, la destruction, la modification, le blocage, la copie, la fourniture, la distribution, ainsi que contre d'autres actions illégales en relation avec ces informations ;

2) le respect de la confidentialité des informations d'accès limité,

3) l'exercice du droit d'accès à l'information.

2. La réglementation étatique des relations dans le domaine de la protection de l'information s'effectue en établissant des exigences en matière de protection de l'information, ainsi que la responsabilité en cas de violation de la législation de la Fédération de Russie sur l'information, les technologies de l'information et la protection de l'information.

3. Des exigences pour la protection des informations accessibles au public ne peuvent être établies que pour atteindre les objectifs spécifiés dans les clauses 1 et 3 de la partie 1 du présent article.

4. Le propriétaire de l'information, l'exploitant du système d'information dans les cas établis par la législation de la Fédération de Russie, est tenu de garantir :

1) la prévention de l'accès non autorisé à l'information et (ou) son transfert à des personnes qui n'ont pas le droit d'accéder à l'information ;

2) détection rapide des faits d'accès non autorisé à l'information ;

3) prévention de la possibilité de conséquences négatives de la violation de la procédure d'accès à l'information ;

4) prévention de l'impact sur les moyens techniques de traitement de l'information, entraînant une perturbation de leur fonctionnement ;

5) la possibilité de récupération immédiate des informations modifiées ou détruites en raison d'un accès non autorisé à celles-ci ;

6) un contrôle constant pour assurer le niveau de sécurité de l'information.

5. Les exigences relatives à la protection des informations contenues dans les systèmes d'information des États sont établies par l'organe exécutif fédéral dans le domaine de la sécurité et l'organe exécutif fédéral habilité dans le domaine de la lutte contre le renseignement technique et protection technique informations, dans les limites de leur autorité. Lors de la création et de l'exploitation de systèmes d'information d'état, les méthodes et méthodes de protection des informations utilisées pour protéger les informations doivent être conformes aux exigences spécifiées.

6. Les lois fédérales peuvent imposer des restrictions à l'utilisation de certains moyens de protection de l'information et à la mise en œuvre de certains types d'activités dans le domaine de la protection de l'information.

Article 17. Responsabilité des infractions dans le domaine de l'information, des technologies de l'information et de la protection de l'information

1. La violation des exigences de la présente loi fédérale entraîne une responsabilité disciplinaire, civile, administrative ou pénale conformément à la législation de la Fédération de Russie.

2. Les personnes dont les droits et les intérêts légitimes ont été violés dans le cadre de la divulgation d'informations à accès limité ou d'une autre utilisation illégale de ces informations, ont le droit de contacter ordre établi pour la protection judiciaire de leurs droits, y compris les demandes de dommages et intérêts, l'indemnisation du préjudice moral, la protection de l'honneur, de la dignité et de la réputation des entreprises. Une demande de dommages et intérêts ne peut être satisfaite si elle est présentée par une personne qui n'a pas pris de mesures pour maintenir la confidentialité des informations ou a violé les exigences de protection des informations établies par la législation de la Fédération de Russie, si l'adoption de ces mesures et le respect des ces exigences étaient les obligations de cette personne.

3. Dans le cas où la diffusion de certaines informations est limitée ou interdite par les lois fédérales, la responsabilité civile de la diffusion de ces informations ne sera pas assumée par la personne fournissant les services :

1) soit sur le transfert d'informations fournies par une autre personne, sous réserve de son transfert sans modifications ni corrections ;

2) soit sur le stockage de l'information et l'accès à celle-ci, à condition que cette personne ne puisse pas connaître l'illégalité de la diffusion de l'information.

Article 18. À propos de l'invalidation de certains actes législatifs (dispositions des actes législatifs) de la Fédération de Russie

A compter de la date d'entrée en vigueur de la présente loi fédérale, seront déclarés invalides :

1) Loi fédérale du 20 février 1995 N 24-FZ "sur l'information, l'informatisation et la protection des informations" (Législation collective de la Fédération de Russie, 1995, N 8, art. 609) ;

2) Loi fédérale du 4 juillet 1996 N 85-FZ "sur la participation à l'échange international d'informations" (Législation collective de la Fédération de Russie, 1996, N 28, art. 3347);

3) Article 16 de la loi fédérale du 10 janvier 2003 N 15-FZ "sur les modifications et ajouts à certains actes législatifs de la Fédération de Russie en rapport avec l'adoption de la loi fédérale" sur l'octroi de licences à certains types d'activités "(Législation collective de la Fédération de Russie, 2003, N 2 , p. 167);

4) Article 21 de la loi fédérale du 30 juin 2003 N 86-FZ "sur les modifications et ajouts à certains actes législatifs de la Fédération de Russie, invalidation de certains actes législatifs de la Fédération de Russie, fourniture de certaines garanties aux employés des affaires intérieures organes, organes de contrôle du chiffre d'affaires des stupéfiants et des substances psychotropes et les organes fédéraux supprimés de la police fiscale dans le cadre de la mise en œuvre de mesures visant à améliorer l'administration publique "(Législation collective de la Fédération de Russie, 2003, N 27, art. 2700) ;

5) Article 39 de la loi fédérale du 29 juin 2004 N 58-FZ « Modifiant certains actes législatifs de la Fédération de Russie et invalidant certains actes législatifs de la Fédération de Russie en rapport avec la mise en œuvre de mesures visant à améliorer l'administration publique » (collecté Législation de la Fédération de Russie, 2004, N 27, Art.2711).

Le président
Fédération Russe
V. Poutine

Actes juridiques à usage général affectant les problèmes de sécurité de l'information

L'article 23 de la Constitution garantit le droit aux secrets personnels et familiaux, au secret de la correspondance, des conversations téléphoniques, des messages postaux, télégraphiques et autres, l'article 29 - le droit de rechercher, de recevoir, de transmettre, de produire et de diffuser librement des informations de toute manière légale . L'interprétation moderne de ces dispositions inclut la garantie de la confidentialité des données, y compris dans le processus de leur transmission sur les réseaux informatiques, ainsi que l'accès aux moyens de protection de l'information.

Le Code civil de la Fédération de Russie (dans notre présentation, nous nous appuyons sur l'édition du 15 mai 2001) comprend des concepts tels que les secrets bancaires, commerciaux et officiels. Selon l'article 139, une information constitue un secret officiel ou commercial dans le cas où une information a une valeur commerciale réelle ou potentielle en raison de son méconnaissance des tiers, il n'y a pas d'accès libre sur une base légale, et le propriétaire de l'information prend mesures pour protéger sa confidentialité. Cela implique, au minimum, des compétences en matière de sécurité de l'information et la disponibilité de moyens disponibles (et légaux) pour assurer la confidentialité.

Article 272. Accès illégal aux informations informatiques ;

Article 273. Création, utilisation et distribution de programmes malveillants pour ordinateurs ;

Article 274. Violation des règles d'exploitation des ordinateurs, des systèmes informatiques ou de leurs réseaux.

La première traite des atteintes à la confidentialité, la seconde - des logiciels malveillants, la troisième - des atteintes à l'accessibilité et à l'intégrité, qui ont entraîné la destruction, le blocage ou la modification d'informations informatiques protégées par la loi. L'inclusion des questions d'accessibilité des services d'information dans le champ d'application du Code pénal de la Fédération de Russie nous semble très opportune.

Loi "sur l'information, l'informatisation et la protection de l'information"

La loi "sur l'information, l'informatisation et la protection de l'information" du 20 février 1995, n° 24-FZ (adoptée par la Douma d'État le 25 janvier 1995) doit être considérée comme fondamentale parmi les lois russes sur la sécurité de l'information. Il fournit des définitions de base et décrit les orientations pour l'élaboration de la législation dans ce domaine.

Pour citer certaines de ces définitions :

information- des informations sur des personnes, des objets, des faits, des événements, des phénomènes et des processus, quelle que soit la forme de leur présentation ;

informations documentées (document)- les informations inscrites sur un support matériel avec des indications permettant de l'identifier ;

processus d'information- les processus de collecte, de traitement, d'accumulation, de stockage, de recherche et de diffusion de l'information ;

Système d'Information- un ensemble organisé de documents (tableaux de documents) et de technologies de l'information, y compris l'utilisation de l'informatique et de la communication, mettant en œuvre des processus d'information ;

ressources d'information- documents individuels et tableaux séparés de documents, documents et tableaux de documents dans les systèmes d'information (bibliothèques, archives, fonds, banques de données, autres systèmes d'information) ;

informations sur les citoyens (données personnelles)- des informations sur les faits, événements et circonstances de la vie du citoyen, permettant d'identifier sa personnalité ;

information confidentielle- des informations documentées, dont l'accès est limité conformément à la législation de la Fédération de Russie ;

utilisateur (consommateur) d'informations- un sujet qui se tourne vers un système d'information ou un intermédiaire pour obtenir l'information dont il a besoin et l'utilise.

La loi identifie les objectifs de protection des informations suivants :

Prévention des fuites, vols, pertes, distorsions, falsifications d'informations ;

Prévention des menaces à la sécurité de l'individu, de la société, de l'État ;

Prévention des actions non autorisées pour détruire, modifier, déformer, copier, bloquer des informations ;

Prévention d'autres formes d'ingérence illégale dans les ressources d'information et les systèmes d'information, en garantissant le régime juridique des informations documentées en tant qu'objet de propriété ;

Protection des droits constitutionnels des citoyens au maintien du secret personnel et de la confidentialité des données personnelles disponibles dans les systèmes d'information ;

Conservation des secrets d'État, confidentialité des informations documentées conformément à la loi ;

Garantir les droits des sujets dans les processus d'information et dans le développement, la production et l'utilisation des systèmes d'information, des technologies et des moyens de leur support.

A noter que la Loi privilégie la préservation de la confidentialité des informations. L'intégrité est également présentée de manière assez complète, bien qu'à la deuxième place. Sur la disponibilité de la prévention des actions non autorisées pour bloquer l'information ") a dit assez peu.

Continuons à citer :

"Toute information documentée, dont la mauvaise gestion peut nuire à son propriétaire, possesseur, utilisateur et autre personne, est soumise à protection."

En effet, cette disposition précise que la protection de l'information vise à assurer les intérêts des sujets des relations d'information.

En ce qui concerne les informations classées comme secret d'État - par les organismes autorisés sur la base de la loi de la Fédération de Russie « sur les secrets d'État » ;

En ce qui concerne les informations confidentielles documentées - par le propriétaire des ressources d'information ou une personne autorisée sur la base de la présente loi fédérale ;

En ce qui concerne les données personnelles - loi fédérale.

A noter que la protection des secrets d'Etat et des données personnelles est assurée par l'Etat ; les autres informations confidentielles relèvent de la responsabilité de leurs propriétaires.

Comment protégez-vous vos informations ? En tant que loi fondamentale, elle offre à cet effet de puissants moyens universels : l'octroi de licences et la certification. Nous citerons l'article 19.

2. Les systèmes d'information des autorités de l'État de la Fédération de Russie et des autorités de l'État des entités constitutives de la Fédération de Russie, d'autres organismes publics, des organisations qui traitent des informations documentées avec un accès limité, ainsi que les moyens de protection de ces systèmes sont soumis à une certification obligatoire . La procédure de certification est déterminée par la législation de la Fédération de Russie.

3. Les organisations effectuant des travaux dans le domaine de la conception, de la production de moyens de protection de l'information et du traitement des données personnelles, reçoivent des licences pour ce type d'activité. La procédure de licence est déterminée par la législation de la Fédération de Russie.

Et quelques autres points, maintenant à partir de l'article 22 :

3. Le risque lié à l'utilisation des systèmes d'information certifiés et des moyens de leur support incombe au propriétaire (possédant) de ces systèmes et moyens. Le risque associé à l'utilisation d'informations obtenues à partir d'un système non certifié incombe au consommateur de l'information.

4. Le propriétaire de documents, un ensemble de documents, des systèmes d'information peut demander aux organisations qui certifient les moyens de protéger les systèmes d'information et les ressources d'information d'analyser l'adéquation des mesures de protection de leurs ressources et systèmes et de recevoir des conseils.

En outre, l'article 23 « Protection des droits des sujets dans le domaine des traitements de l'information et de l'informatisation » contient la clause suivante : 2. La protection des droits des sujets dans ce domaine est assurée par le tribunal, le tribunal arbitral, le tribunal arbitral, en prenant compte des spécificités des infractions et des dommages causés.

Les paragraphes de l'article 5 concernant la force juridique d'un document électronique et d'une signature électronique numérique sont très importants :

La force juridique d'une signature numérique électronique est reconnue s'il existe des outils logiciels et matériels dans le système d'information automatisé qui assurent l'identification de la signature, et si le régime établi pour leur utilisation est respecté.

Ainsi, la Loi offre un moyen efficace de contrôler l'intégrité et de résoudre le problème de la « non-répudiation » (l'impossibilité de refuser sa propre signature).

Ce sont les plus importantes, à notre avis, les dispositions de la loi "sur l'information, l'informatisation et la protection de l'information". La page suivante traitera d'autres lois de la Fédération de Russie dans le domaine de la sécurité de l'information.

Autres lois et règlements

Suivant la logique de la loi « sur l'information, l'informatisation et la protection de l'information », nous poursuivrons notre révision avec la loi « sur l'autorisation de certains types d'activités » du 8 août 2001, n° 128-FZ (adoptée par l'État Douma le 13 juillet 2001). Commençons par quelques définitions de base.

"Licence- un permis spécial pour la mise en œuvre d'un type spécifique d'activité soumis au respect obligatoire des exigences et des conditions d'autorisation, délivré par l'autorité de délivrance des autorisations à une personne morale ou à un entrepreneur individuel.

Type d'activité autorisée- le type d'activité pour la mise en œuvre de laquelle sur le territoire de la Fédération de Russie, il est nécessaire d'obtenir une licence conformément à la présente loi fédérale.

Licence- les activités liées à l'octroi de licences, la réémission de documents confirmant la disponibilité des licences, la suspension et le renouvellement des licences, l'annulation des licences et le contrôle des autorités de délivrance des licences sur le respect par les titulaires de licences dans la mise en œuvre des activités autorisées avec les exigences de licence pertinentes et conditions.

Autorités de délivrance des licences- organes exécutifs fédéraux, organes exécutifs des entités constitutives de la Fédération de Russie, exerçant des licences conformément à la présente loi fédérale.

Licencié- une personne morale ou un entrepreneur individuel autorisé à exercer un type d'activité spécifique. "

L'article 17 de la loi établit une liste des types d'activités pour lesquelles des licences sont requises. Nous nous intéresserons les types suivants:

Distribution de moyens de cryptage (cryptographiques);

Maintenance des moyens de cryptage (cryptographiques) ;

Fourniture de services dans le domaine du cryptage d'informations;

Développement et production de moyens de cryptage (cryptographiques), protégés à l'aide de moyens de cryptage (cryptographiques) de systèmes d'information, de systèmes de télécommunication;

émission de certificats pour clés de signatures numériques électroniques, enregistrement de propriétaires de signatures numériques électroniques, fourniture de services liés à l'utilisation de signatures numériques électroniques et confirmation de l'authenticité de signatures numériques électroniques;

Identification d'appareils électroniques destinés à obtenir secrètement des informations dans des locaux et des moyens techniques (à moins que l'activité spécifiée ne soit réalisée pour répondre aux besoins propres d'une personne morale ou d'un entrepreneur individuel);

Développement et (ou) production de moyens de protection des informations confidentielles ;

Protection technique des informations confidentielles ;

Développement, production, vente et achat aux fins de vente de moyens techniques spéciaux destinés à la réception secrète d'informations par des entrepreneurs individuels et des personnes morales exerçant des activités entrepreneuriales.

Il convient de garder à l'esprit que, conformément à l'article 1, la présente loi ne s'applique pas aux activités suivantes :

Activités liées à la protection des secrets d'État ;

Activités de communication;

Activités éducatives.

Soulignons à cet égard que cette loi n'empêche pas l'organisation de formations sur la sécurité de l'information (elle ne nécessite pas l'obtention d'une licence spéciale ; auparavant, une telle licence était requise). À son tour. La loi fédérale « sur l'éducation » ne contient aucune disposition particulière concernant les activités éducatives dans le domaine de l'IB.

Les principales autorités de délivrance des licences dans le domaine de la sécurité de l'information sont l'Agence fédérale pour les communications et l'information du gouvernement (FAPSI) et la Commission technique d'État de Russie. La FAPSI est en charge de tout ce qui concerne la cryptographie, la Commission technique de l'État autorise les activités de protection des informations confidentielles. Les mêmes organisations mènent les travaux sur la certification des moyens de la direction correspondante. En outre, l'importation et l'exportation de moyens de protection cryptographique des informations (équipement de cryptage) et de la documentation réglementaire et technique correspondante peuvent être effectuées exclusivement sur la base d'une licence du ministère des Relations économiques étrangères de la Fédération de Russie, délivrée le la base d'une décision de la FAPSI. Toutes ces questions sont régies par les décrets correspondants du Président et les décrets du gouvernement de la Fédération de Russie, que nous n'énumérerons pas ici.

À l'ère des communications mondiales, un rôle important est joué par la loi "sur la participation à l'échange international d'informations" du 4 juillet 1996, n° 85-FZ (adoptée par la Douma d'État le 5 juin 1996). Dans celui-ci, comme dans la loi "sur l'information ...", les principaux moyens de protection sont les licences et les certificats. Citons quelques points de l'article 9.

2. La protection des informations confidentielles par l'État s'applique uniquement aux activités d'échange international d'informations, qui sont menées par des personnes physiques et morales titulaires d'une licence pour travailler avec des informations confidentielles et utilisant des moyens certifiés d'échange international d'informations.

La délivrance des certificats et des licences est confiée au Comité sur la politique d'informatisation du Président de la Fédération de Russie, à la Commission technique d'État auprès du Président de la Fédération de Russie et à l'Agence fédérale des communications et de l'information gouvernementales auprès du Président de la Fédération de Russie. . La procédure de délivrance des certificats et des licences est établie par le gouvernement de la Fédération de Russie.

3. Si des modes de fonctionnement anormaux des moyens d'échange international d'informations sont détectés, c'est-à-dire l'occurrence de commandes erronées, ainsi que des commandes causées par des actions non autorisées du personnel de service ou d'autres personnes, ou de fausses informations, le propriétaire ou le propriétaire de ces fonds doivent informer rapidement les autorités de contrôle de la mise en œuvre de l'échange international d'informations et le propriétaire

ou le propriétaire des moyens interactifs d'échange international d'informations, faute de quoi il est responsable des dommages causés.

Si vous le souhaitez, vous pouvez voir ici l'obligation d'identifier le contrevenant à la sécurité de l'information - une position, sans aucun doute, très importante et progressive.

Une autre citation est maintenant tirée de l'article 17 de la même loi. Article 17 : « Certification des produits d'information, des services d'information, des moyens d'échange international d'informations. 1. Lors de l'importation de produits d'information et de services d'information dans la Fédération de Russie, l'importateur soumet un certificat garantissant la conformité de ces produits et services avec les exigences du contrat. En cas d'impossibilité de certification des produits et services d'information importés sur le territoire de la Fédération de Russie, l'importateur est responsable de l'utilisation de ces produits et services.

2. Les moyens d'échange international d'informations qui traitent des informations documentées à accès limité, ainsi que les moyens de protection de ces moyens sont soumis à une certification obligatoire.

3. La certification des réseaux de communication est effectuée de la manière déterminée par la loi fédérale "sur la communication" ".

A la lecture du paragraphe 2, il est difficile de résister à la question : « Faut-il certifier les moyens de protection des moyens de protection de ces moyens ? La réponse est, bien évidemment, oui ...

Le 10 janvier 2002, le Président a signé une très importante loi « sur la signature numérique électronique » n° 1-FZ (adoptée par la Douma d'État le 13 décembre 2001), qui développe et concrétise les dispositions ci-dessus de la loi « sur l'information ...". Son rôle est expliqué à l'article 1.

1. La présente loi fédérale a pour objet de garantir les conditions légales d'utilisation d'une signature numérique électronique dans des documents électroniques, sous réserve que la signature numérique électronique dans document électronique reconnu comme équivalent à une signature manuscrite dans un document papier.

2. La présente loi fédérale s'applique aux relations nées dans le cadre d'opérations civiles et dans les autres cas prévus par la législation de la Fédération de Russie. La présente loi fédérale ne s'applique pas aux relations résultant de l'utilisation d'autres analogues d'une signature manuscrite.

La loi introduit les concepts de base suivants :

Document électronique - un document dans lequel des informations sont présentées sous forme électronique numérique.

Signature numérique électronique- l'exigence d'un document électronique destiné à protéger ce document électronique de la contrefaçon, obtenu à la suite d'une transformation cryptographique d'informations utilisant la clé privée d'une signature numérique électronique et permettant d'identifier le propriétaire du certificat de clé de signature, ainsi que de établir l'absence de distorsion des informations dans le document électronique.

Propriétairecertificat de clé de signature- une personne physique au nom de laquelle le centre de certification a délivré un certificat de clé de signature et qui possède la clé privée correspondante d'une signature numérique électronique, qui permet d'utiliser des signatures numériques électroniques pour créer sa propre signature numérique électronique dans des documents électroniques (signer des documents électroniques).

Moyens de signature numérique électronique- des outils matériels et (ou) logiciels assurant la mise en œuvre d'au moins l'une des fonctions suivantes : création d'une signature électronique numérique dans un document électronique à l'aide d'une clé privée d'une signature électronique numérique, confirmation à l'aide d'une clé publique d'une signature de l'authenticité d'une signature numérique électronique dans un document électronique, créant des clés privées et publiques de signatures numériques électroniques.

Signature numérique électronique signifie certificat- un document papier délivré conformément aux règles du système de certification pour confirmer la conformité des signatures électroniques numériques aux exigences établies.

Clé privée de signature numérique électronique- une séquence unique de caractères connue du propriétaire du certificat de clé de signature et conçue pour créer des signatures numériques électroniques dans des documents électroniques à l'aide de signatures numériques électroniques.

Clé publique de la signature numérique électronique- une séquence unique de caractères correspondant à la clé privée d'une signature numérique électronique, accessible à tout utilisateur du système d'information et destinée à confirmer l'authenticité d'une signature numérique électronique dans un document électronique à l'aide de moyens de signature électronique numérique.

Certificat de clé de signature- un document papier ou un document électronique avec une signature numérique électronique d'une personne autorisée du centre de certification, qui comprennent Clé publique signature numérique électronique et délivrée par le centre de certification au participant du système d'information pour confirmer l'authenticité de la signature numérique électronique et identifier le propriétaire du certificat de clé de signature.

Confirmation de l'authenticité d'une signature numérique électronique dans un document électronique- un résultat positif de la vérification par une signature numérique électronique certifiée appropriée avec l'utilisation du certificat de clé de signature de la propriété de la signature numérique électronique dans le document électronique au propriétaire du certificat de clé de signature et l'absence de distorsions dans le document électronique signé par cette signature numérique électronique.

Utilisateur du certificat de clé de signature- une personne physique qui utilise les informations sur le certificat de clé de signature obtenues dans le centre de certification pour vérifier que la signature numérique électronique appartient au propriétaire du certificat de clé de signature.

Système d'information publique- un système d'information ouvert à toutes les personnes physiques et morales et dont les services ne peuvent être refusés à ces personnes.

Système d'information de l'entreprise- un système d'information dont les participants peuvent être un nombre limité de personnes, déterminé par son propriétaire ou par accord des participants à ce système d'information.

Il est impossible de redire de telles définitions dans vos propres mots... Faisons attention à l'utilisation ambiguë du terme "certificat", qui ne doit cependant pas prêter à confusion. De plus, la définition d'un document électronique donnée ici est plus faible que dans la loi « Sur l'information… », puisqu'il n'y a aucune mention de détails.

Selon la loi, une signature numérique électronique dans un document électronique équivaut à une signature manuscrite dans un document papier, à condition que les conditions suivantes soient remplies :

Le certificat de clé de signature lié à cette signature numérique électronique n'est pas devenu invalide (valide) au moment de la vérification ou au moment de la signature du document électronique s'il existe des preuves qui déterminent le moment de la signature ;

L'authenticité de la signature numérique électronique dans le document électronique a été confirmée ;

Une signature numérique électronique est utilisée conformément aux informations spécifiées dans le certificat de clé de signature.

La loi définit les informations que doit contenir le certificat de clé de signature :

Le numéro d'enregistrement unique du certificat de clé de signature, les dates de début et d'expiration du certificat de clé de signature, qui se trouve dans le registre de l'autorité de certification ;

Nom, prénom et patronyme du propriétaire du certificat de clé de signature ou alias du propriétaire. Si un pseudonyme est utilisé, un enregistrement à ce sujet est effectué par l'autorité de certification dans le certificat de clé de signature ;

Clé publique de signature numérique électronique;

Le nom du moyen de signature numérique électronique avec lequel cette clé publique de la signature numérique électronique est utilisée ;

Nom et emplacement de l'autorité de certification qui a émis le certificat de clé de signature ;

Informations sur la relation dans la mise en œuvre de laquelle un document électronique avec une signature numérique électronique aura une valeur juridique.

Je me demande s'il existe de nombreuses lois fédérales contenant autant d'informations techniques et si dépendantes d'une technologie spécifique ?

Ceci conclut l'examen des lois de la Fédération de Russie relatives à la sécurité de l'information.

Loi de la Fédération de Russie "sur l'information, l'informatisation et la protection de l'information .

Loi fédérale du 20 février 1995 N 24-FZ "sur l'information, l'informatisation et la protection des informations" (telle que modifiée le 10 janvier 2003). Adopté par la Douma d'État le 25 janvier 1995.

1. La présente loi fédérale réglemente les relations découlant :

Formation et utilisation de ressources d'information basées sur la création, la collecte, le traitement, l'accumulation, le stockage, la recherche, la distribution et la fourniture d'informations documentées au consommateur ;

Création et utilisation des technologies de l'information et des moyens de leur support ;

Protection de l'information, droits des sujets participant aux processus d'information et informatisation.

La politique de l'État dans le domaine de la formation des ressources d'information et de l'informatisation vise à créer les conditions d'une efficacité et d'une qualité aide à l'information résoudre les tâches stratégiques et opérationnelles du développement social et économique de la Fédération de Russie.

Les grandes orientations politique publique dans le domaine de l'informatisation sont :

· Fourniture de conditions pour le développement et la protection de toutes les formes de propriété des ressources d'information ;

· Formation et protection des ressources d'information de l'État ;

· Création et développement de systèmes et réseaux d'information fédéraux et régionaux, assurant leur compatibilité et interaction dans un espace d'information unique de la Fédération de Russie ;

· Création de conditions pour un soutien informationnel de haute qualité et efficace des citoyens, des autorités de l'État, des gouvernements locaux, des organisations et des associations publiques sur la base des ressources d'information de l'État ;

· Assurer la sécurité nationale dans le domaine de l'informatisation, ainsi qu'assurer la mise en œuvre des droits des citoyens, des organisations dans le cadre de l'informatisation ;

· Assistance à la formation du marché des ressources informationnelles, des services, des systèmes d'information, des technologies, des moyens de leur support ;

· Formation et mise en œuvre d'une politique scientifique, technique et industrielle unifiée dans le domaine de l'informatisation, en tenant compte du niveau mondial moderne de développement des technologies de l'information ;

· Accompagnement de projets et programmes d'informatisation ;

· Création et amélioration d'un système pour attirer les investissements et d'un mécanisme pour stimuler le développement et la mise en œuvre de projets d'informatisation ;

· Développement de la législation dans le domaine des processus d'information, de l'informatisation et de la protection de l'information.

Protection de l'information et des droits des sujets dans le domaine des processus d'information et de l'informatisation

Les objectifs de la protection sont :

1. prévention des fuites, du vol, de la perte, de la distorsion, de la falsification d'informations ;

2. prévention des menaces à la sécurité de l'individu, de la société, de l'État ;

3. prévention des actions non autorisées pour détruire, modifier, déformer, copier, bloquer des informations ; la prévention d'autres formes d'ingérence illégale dans les ressources d'information et les systèmes d'information, en garantissant le régime juridique des informations documentées en tant qu'objet de propriété ;

4. protection des droits constitutionnels des citoyens au maintien du secret personnel et de la confidentialité des données personnelles disponibles dans les systèmes d'information ;

5. préservation des secrets d'État, confidentialité des informations documentées conformément à la législation ;

6. garantir les droits des sujets dans les processus d'information et dans le développement, la production et l'application des systèmes d'information, des technologies et des moyens de leur soutien.

Protection des informations.

1. Toute information documentée, dont la mauvaise manipulation peut nuire à son propriétaire, possesseur, utilisateur et autre personne, est soumise à la protection.

Le mode de protection des informations est établi :

· En ce qui concerne les informations classées comme secret d'État - par les organismes autorisés sur la base de la loi de la Fédération de Russie « sur les secrets d'État » ;

· En ce qui concerne les informations confidentielles documentées - par le propriétaire des ressources d'information ou une personne autorisée sur la base de la présente loi fédérale ;

· En ce qui concerne les données personnelles - par la loi fédérale.

2. Les autorités de l'État et les organisations responsables de la formation et de l'utilisation des ressources d'information soumises à protection, ainsi que les organismes et organisations qui développent et utilisent des systèmes d'information et des technologies de l'information pour la formation et l'utilisation de ressources d'information à accès limité, sont guidés dans leur activités par la législation de la Fédération de Russie ...

3. Le contrôle du respect des exigences en matière de protection de l'information et du fonctionnement de la protection spéciale des logiciels et du matériel, ainsi que la mise en place de mesures de protection organisationnelles pour les systèmes d'information qui traitent des informations avec un accès limité dans des structures non étatiques, sont effectués par l'État. les autorités. Le contrôle est effectué de la manière déterminée par le gouvernement de la Fédération de Russie.

4. Les organisations traitant des informations à accès limité, qui sont la propriété de l'État, créent des services spéciaux pour assurer la protection des informations.

5. Le propriétaire des ressources informationnelles ou les personnes autorisées par lui ont le droit de contrôler le respect des exigences en matière de protection de l'information et d'interdire ou de suspendre le traitement des informations en cas de non-respect de ces exigences.

6. Le propriétaire ou le propriétaire des informations documentées a le droit de demander aux autorités de l'État d'évaluer l'exactitude de la mise en œuvre des normes et exigences pour la protection de ses informations dans les systèmes d'information. Les organes compétents sont déterminés par le gouvernement de la Fédération de Russie. Ces autorités respectent la confidentialité des informations elles-mêmes et des résultats de l'audit.

Droits et obligations des sujets dans le domaine de la protection de l'information.

1. Le propriétaire de documents, un ensemble de documents, des systèmes d'information ou des personnes autorisées par lui, conformément à la présente loi fédérale, établissent la procédure pour fournir à l'utilisateur des informations indiquant le lieu, l'heure, les responsables, ainsi que les procédures et assurer les conditions d'accès des utilisateurs à l'information.

3. Le risque lié à l'utilisation de systèmes d'information non certifiés et des moyens de leur support incombe au propriétaire (possédant) de ces systèmes et moyens.

Le risque associé à l'utilisation d'informations obtenues à partir d'un système non certifié incombe au consommateur de l'information.

5. Le propriétaire de documents, d'un ensemble de documents, de systèmes d'information est tenu d'informer le propriétaire de ressources d'information ou de systèmes d'information de tous les faits de violation du régime de protection de l'information.

Protection du droit d'accès à l'information.

1. Refus d'accès à informations ouvertes ou fournir aux utilisateurs des informations sciemment inexactes peut être contestée devant les tribunaux.

Le non-respect ou la mauvaise exécution des obligations découlant du contrat de fourniture, de vente et d'achat, pour d'autres formes d'échange de ressources d'information entre les organisations sont examinés par le tribunal arbitral.

Dans tous les cas, les personnes auxquelles l'accès à l'information a été refusé et les personnes qui ont reçu de fausses informations ont droit à une indemnisation pour le préjudice qu'elles ont subi.

2. Le tribunal examine les litiges relatifs à la classification injustifiée d'informations en tant qu'informations à accès limité, les demandes de dommages et intérêts en cas de refus injustifié de fournir des informations aux utilisateurs ou à la suite d'autres violations des droits des utilisateurs.

3. Les chefs, autres employés des autorités de l'État, les organisations, coupables de restriction illégale de l'accès à l'information et de violation du régime de protection de l'information, sont responsables conformément à la législation pénale, civile et à la législation sur les infractions administratives.

Bibliographie.

Loi fédérale du 20 février 1995 N 24-FZ "sur l'information, l'informatisation et la protection des informations" (telle que modifiée le 10 janvier 2003).