Сайт в интернете — один из основных способов взаимодействия пользователя с видимой частью глобальной сети. Именно с веб-сайтами каждый из нас сталкивается при желании посмотреть, где находится кафе, заказать товар, пообщаться с другом, посмотреть видео и т.д. При этом сайт является не самым простым объектом исключительных прав: до сих пор нет единого мнения о его правовом статусе. Этот пост посвящен основным юридическим нюансам возникновения прав на сайт и передачи прав на него, в случаях, когда он создан работниками его владельца.
Достаточно условно веб-сайты по типу возможностей, которые они предоставляют пользователям, можно подразделить на следующие виды:
- Сайты, предоставляющие контент (видео, музыку, информацию и пр.).
- Сайты для онлайн-контактов и общения (блоги, социальные сети).
- Сайты электронной коммерции (интернет-магазины, электронные платежные системы).
- Сайты, предоставляющие онлайн-сервисы (электронная почта, офисные приложения).
При этом, вне зависимости от вида сайта, у его обладателя есть интерес в действительном наличии у него охраняемых прав на все содержимое сайта в самом широком смысле этого слова. Однако сайты, предоставляющие онлайн-сервисы, стоят, на наш взгляд, особняком от всех остальных, поскольку пользователь, по сути, взаимодействует не с самим сайтом, а с программным продуктом, доступ к которому предоставляется с помощью сайта. Именно поэтому в настоящей статье мы будем говорить о первых трех из указанных видов сайтов.
Как работают адреса в интернете? РАЗБОР
Определение веб-сайта в российском законодательстве
Прежде чем говорить о приобретении тех или иных прав на веб-сайт, следует дать юридически корректное определение веб-сайта. Не вдаваясь в настоящей статье в разбор различных определений веб-сайта в юридической литературе, остановимся на том, как он определяется в законодательстве. Так, в соответствии со ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон),
сайт в сети «Интернет» – это совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».
Таким образом, Закон рассматривает веб-сайт прежде всего как совокупность программ для ЭВМ. Тем не менее, определение веб-сайта, данное в Законе, для целей настоящей статьи использовать не совсем корректно, поскольку Закон не регулирует отношения, связанные с возникновением и защитой прав на сам веб-сайт и на его содержимое с точки зрения гражданско-правового регулирования.
Что же касается гражданского законодательства, то Гражданский кодекс Российской Федерации (далее – ГК РФ) не дает определение веб-сайту, указывая лишь, что он относится к составным произведениям, наряду с антологией, энциклопедией, базой данных (п. 2 ст. 1260 ГК РФ). При этом, к составным произведениям законодатель причислил веб-сайт относительно недавно путем дополнения неисчерпывающего перечня составных произведений, приведенных в п. 2 ст. 1260 ГК РФ (Федеральный закон от 12.03.2014 № 35-ФЗ, вступивший в силу 01.10.2014).
Основы понимания сетей для начинающего хакера.Часть 1. IP, DHCP, NAT, port
На определенной стадии законопроект о внесении изменений в ГК РФ содержал даже определение сайта:
«Интернет-сайтом является представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть размещены в сети Интернет».
На последующей стадии законодатель убрал это определение из законопроекта. Следует также отметить, что и до внесения изменений в ГК РФ судебная практика признавала за веб-сайтами статус составного произведения (см., например, Постановление Президиума ВАС РФ от 22.04.2008 № 255/08, Постановление ФАС Московского округа от 21.06.2011 № КГ-А40/5623-11). Кроме того, встречалась и встречается точка зрения об отнесении сайтов к сложным объектам в смысле ст. 1240 ГК РФ, а также к базам данных.
Возникновение прав на веб-сайт
Как известно, составным произведением является произведение, включающее другие произведения или их части. Составное произведение при этом является самостоятельным объектом авторского права и права автора такого произведения на осуществленные им подбор или расположение материалов (составительство) охраняются независимо от охраны прав авторов произведений, на которых основано составное произведение (пункты 2 и 4 ст. 1260 ГК РФ).
По общему правилу, автор произведения, помещенного в составном произведении, вправе использовать свое произведение независимо от составного произведения (п. 5 ст. 1260 ГК РФ). Иное может быть предусмотрено договором с создателем составного произведения. Таким образом, с правовой точки зрения в создании веб-сайта принимают участие следующие лица:
- Составитель веб-сайта, т.е. веб-дизайнер, который определенным образом подбирает или располагает отдельные произведения (в частности, например, фотографические, литературные, аудиовизуальные, произведения изобразительного искусства) для функционирования веб-сайта и, соответственно, для этих целей пишет исходный код;
- Авторы тех или иных отдельных произведений (далее мы будем для удобства использовать термин «компоненты веб-сайта»), использованных веб-дизайнером при создании (составлении) веб-сайта.
Для обладания в полном объеме исключительными правами на весь веб-сайт целиком (т.е. собственно на сам сайт и его компоненты) необходимо, чтобы все лица, указанные выше, передали свои исключительные права лицу, которое впоследствии будет использовать данный сайт для продажи товаров / оказания услуг в самом широком смысле данных понятий (далее мы будем называть такое лицо «владельцем веб-сайта»).
Создание веб-сайта силами работников его владельца: особенности передачи прав
В первой части настоящей статьи мы затронем вопрос создания веб-сайта и всех компонентов для его успешного функционирования (вне зависимости от их числа и сложности) работниками владельца сайта. При этом под работниками мы понимаем только тех лиц, с которыми в соответствии с Трудовым кодексом Российской Федерации (далее – ТК РФ) заключен трудовой договор.
Любое произведение, в том числе такое, которое будет являться компонентом веб-сайта и самим веб-сайтом, созданное в пределах установленных для работника (автора) трудовых обязанностей, называется служебным (п. 1 ст. 1295 ГК РФ) и исключительные права на такое произведение принадлежат по общему правилу работодателю (п. 2 ст. 1295 ГК РФ).
В контексте определения сайта и его компонентов как служебных произведений необходимо отметить, что важную роль играет вопрос четкого и наиболее полного определения трудовых обязанностей каждого из работников с учетом тех трудовых функций, которые на него конкретно возлагаются. Например, если в трудовом договоре с работником указано, что единственной его обязанностью является написание кода для программы для ЭВМ, а он создает фотографическое произведение вне связи с выполнением трудовой функции, то у работодателя никаких прав на это последнее произведение не возникнет.
В связи с этим, помимо указанной выше необходимости максимально четкого определения трудовых обязанностей работника, желательно также оформлять каждому работнику служебное задание, в котором указывать какое произведение (компонент веб-сайта) должен создать работник, каков должен быть его функционал и т.п., и, по завершению создания произведения, оформлять уведомление о создании произведения, исходящее от работника, и акт приема-передачи.
Как мы указали ранее, веб-сайт может состоять из множества компонентов, каждый из которых может быть самостоятельным произведением. Поэтому указанные выше документы следует оформлять со всеми лицами, создающими те или иные компоненты для веб-сайта, а также с работником-автором самого веб-сайта. Если сам веб-сайт и все его компоненты созданы работниками с соблюдением всех обозначенных выше нюансов, то владельцу веб-сайта будут в полном объеме принадлежать все исключительные права как на сам веб-сайт, так и на все его компоненты.
Работодателю-владельцу веб-сайта необходимо иметь в виду, он станет обладателем исключительных прав на сам веб-сайт и всего его компоненты в том случае, если всего его работники, принимавшие участие в создании сайта, создали компоненты и сам веб-сайт самостоятельно (то есть дизайнер самостоятельно создал все элемента дизайна веб-сайта, составитель веб-сайт сам написал необходимый для его функционирования код и т.д.). С учетом большего количества разного рода конструкторов, содержащих готовые решения для создания веб-сайта, этот вопрос особенно актуален.
Ответственность для владельца веб-сайта
Необходимо учитывать, что если владелец веб-сайта является лицом, осуществляющим предпринимательскую деятельность, то он будет нести ответственность за нарушение исключительных прав тех или иных лиц на отдельные компоненты веб-сайта или на сам веб-сайт как самостоятельное произведение в полном объеме вне зависимости от вины (пункты 3 и 5 ст. 1250 ГК РФ), то есть вне зависимости от того, знал ли о том, что не обладает исключительные права на веб-сайт и (или) его компоненты (см., например, п. 7 Обзора судебной практики по делам, связанным с разрешением споров о защите интеллектуальных прав, утвержденного Президиумом Верховного Суда РФ 23.09.2015). Такая ответственность может заключаться, например, в выплате компенсации обладателю исключительных прав, определяемой, в частности, или в твердой сумме (от 10 тыс. до 5 млн рублей по усмотрению суда исходя из характера нарушения), или в двукратном размере стоимости права использования произведения (ст. 1301 ГК РФ).
К сожалению, для работодателя-владельца веб-сайта, универсальных средств защиты от подобных недобросовестных действий работников нет, как и нет всегда работающего механизма проверки факта создания того или иного произведения именно его работником, а не третьим лицом. Хотя ГК РФ и предоставляет работодателю право предъявить регрессное требование своему работнику, если работодатель при отсутствии своей вины выплатил, например, компенсацию третьему лицу за нарушение его исключительных прав на той или иной компонент веб-сайта, необходимо учитывать, что подобные требования к работнику подлежат удовлетворению только с учетом норм Трудового кодекса РФ.
В ст. 242 ТК РФ указывается, что материальная ответственность в полном размере причиненного ущерба может возлагаться на работника лишь в случаях, предусмотренных ТК РФ или иными федеральными законами, например, в случае умышленного причинения работником ущерба работодателю, что достаточно трудно доказуемо. С учетом изложенного, при постановке работодателем своим работникам задачи по созданию веб-сайта ему необходимо всегда помнить о сложном правовом положении веб-сайта и необходимости приобретения им исключительных прав как на сам веб-сайт, так и на всего его компоненты (составные части).
Вторая часть статьи будет посвящена ситуациям, когда заказчик работает с каждым из исполнителей по отдельным договорам (а также без договоров) или по договору с агентством.
Материал подготовлен в соавторстве с юристом адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры» Андреем Ипполитовым.
Источник: regforum.ru
Что такое сайт с юридической точки зрения
Сайты появились одновременно с Интернетом. С каждым днем их появляется огромное количество. Российское законодательство очень активно использовало и использует это понятие. Однако, что такое сайт законодательно было определено сравнительно недавно. И все-равно остается много вопросов.
Вы можете найти огромное количество статей в сети Интернет, рассказывающих о сайтах, их сущности с технической точки зрения, о сайтах-визитках, одностраничниках, блогах, порталах и т. д.
Зачем еще одна статья, пусть и раскрывающая это понятие уже с юридической точки зрения? Дело в том, что сайт является объектом самых разных общественных отношений. Очень многие пытаются с их помощью заработать. Разными способами: на его разработке, на его ведении и продаже рекламы, предоставлении услуг через веб-ресурс и т. д.
Официальные сайты есть у государственных органов, судов, отдельных должностных лиц, включая Президента РФ и Председателя Правительства РФ. Свои сайты имеют многие компании. Профессионалы самых разных сфер жизни имеют сайты-визитки. Для некоторых сайт является источником дохода, что тоже влечет определенные правовые последствия.
Ряд вопросов лежит в плоскости права интеллектуальной собственности.
Так что же такое сайт с точки зрения права?
Понятие сайта
Официальное определение было дано в 2012 году в Федеральном законе «Об информации, информационных технологиях и о защите информации». Согласно п. 13 ст. 2 этого Закона
13) сайт в сети «Интернет» — совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет») по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».
Согласно этому определению любой сайт включает в себя:
Что такое доменное имя и сетевой адрес Закон № 149-ФЗ определяет отдельно в п. 15 и 16 ст. 2:
15) доменное имя — обозначение символами, предназначенное для адресации сайтов в сети «Интернет» в целях обеспечения доступа к информации, размещенной в сети «Интернет» (например, доменное имя сайта, на котором вы сейчас находитесь — lawyerlife.ru);
16) сетевой адрес — идентификатор в сети передачи данных, определяющий при оказании телематических услуг связи абонентский терминал или иные средства связи, входящие в информационную систему (речь идет об IP-адресе сайта, позволяющего определить хостинг-провайдера ресурса).
Домен и сайт очень тесно связаны друг с другом. Понятие доменного имени об этом свидетельствует. В сознании большинства людей представление о сайте складывается через его доменное имя. Репутация сайта переносится на доменное имя. И не только в сознании людей, но и технически.
Например, поисковые системы Google и Яндекс могут накладывать на веб-ресурсы определенные санкции. Они могут быть наложены исходя из самых различных показателей. Основную роль играет качество контента. Если контент некачественный согласно представлениям поисковой системы, то накладывается фильтр. Например, у Яндекса есть такой очень известный фильтр АГС.
Технически он накладывается на доменное имя.
Если улучшать качество сайта, оставив его на первоначальном домене, то промежуток времени между началом работы над устранением причин, повлекших наложение санкций, до снятия последних может быть очень большим.
Поэтому многие не мучаются, а просто переносят сайт на другой домен. Если только первоначальное доменное имя не является брендом, товарным знаком.
По поводу товарных знаков разворачиваются целые доменные войны, когда кто-то регистрирует доменное имя, сходное с каким-либо товарным знаком. Но это уже тема отдельной статьи, сейчас не об этом речь.
Что можно сказать по поводу правовой сущности сайта исходя из положений закона № 149-ФЗ? Она все-равно осталась неопределенной — приведенные выдержки из закона характеризуют в основном его техническую сторону. Правовой режим сайта остается неопределенным.
Сайт и СМИ
Иногда предлагается рассматривать сайт как средство массовой информации. Но большинство интернет-ресурсов в законодательство о СМИ не вписываются.
Юридически, согласно Закону РФ от 27.12.1991 № 2124-1 «О средствах массовой информации», сайт может быть сетевым изданием. Для этого он должен быть зарегистрирован в качестве средства массовой информации.
Такая регистрация — дело добровольное.
Таким образом, сайт в сети Интернет может быть СМИ, а может и не быть им. Обязанность регистрировать любой сайт в таком качестве действующим законодательством не установлена.
Сайт будет средством массовой информации только если владелец пожелает сделать его таковым и зарегистрирует в установленном Законом № 2124-1 порядке.
Об этом прямо сказано в ст. 8 указанного закона — сайт, не зарегистрированный в качестве средства массовой информации, им не является.
Еще до этого в Постановлении Пленума Верховного Суда РФ от 15 июня 2010 г. № 16 «О практике применения судами Закона Российской Федерации «О средствах массовой информации» было сказано, что регистрация интернет-ресурсов в качестве СМИ является делом добровольным, какие-либо меры ответственности за отказ от регистрации на владельца сайта налагаться не могут.
Что это все означает?
А означает это, что правовой статус сайтов, не зарегистрированных в качестве СМИ, остается неопределенным. Соответственно, в случае нарушения со стороны владельца сайта норм права, особенности законодательства о СМИ применяться не могут.
Так обстоят дела не только в России. В большинстве зарубежных стран их законодательством сайты также не отнесены к СМИ, а регистрация в таком качестве является добровольной.
Сайт как объект авторского права
С этой стороны пока все сложно. Действующая на момент написания данной статьи редакция ГК РФ прямо не упоминает сайт в числе объектов авторского права. Хотя проект Федерального закона № 47538-6 об изменениях в ГК РФ предусматривает внесение интернет-сайта в число объектов авторских прав в качестве составного произведения.
Тут может появиться терминологическая путаница, поскольку в Законе № 149-ФЗ речь идет просто о сайте в сети «Интернет», а в ГК РФ, если поправки будут приняты в существующем виде, будет закреплен термин «интернет-сайт».
Проект изменений в ГК РФ относит интернет-сайт к такому объекту авторских прав как составное произведение. Это произведение, являющееся результатом творческого труда по подбору или расположению материалов.
Исходя из этого определение сайта, приведенное в Законе № 149-ФЗ, и определение, предлагаемое проектом № 47538-6, не совпадают в принципе. В первом случае акцент сделан на технической стороне сайта, во втором — сайт понимается исключительно как объект авторских прав, техническая сторона обходится молчанием.
Хотя законодательное урегулирование статуса сайта как объекта авторских прав, безусловно, заслуживает одобрения.
Принятие поправок в ГК РФ позволит применять к интернет-сайтам нормы части 4 ГК РФ. Пусть даже с таким однобоким определением.
Если считать сайт составным произведением, остается неясным, что имеется в виду под совокупностью самостоятельных материалов, систематизированных таким образом, чтобы они могли быть размещены в сети Интернет.
Можно ли каждый такой самостоятельный материал считать и самостоятельным объектом интеллектуальной собственности? Например, графическое решение сайта — дизайнерскую часть? Сейчас ничто не мешает зарегистрировать его как промышленный образец.
Также можно в ряде случаев зарегистрировать программу для ЭВМ в порядке ст. 1262 ГК РФ. Это касается системы управления контентом (CMS или «движок» сайта), если она является уникальной, т. е. разработанной под конкретный сайт (самописный движок).
На WordPress, Joomla! или Битрикс, а также многие другие уже готовые CMS этот порядок не распространяется, поскольку они либо распространяются по лицензии GPL (это касается бесплатных CMS), либо уже зарегистрированы в качестве объекта интеллектуальной собственности конкретной компанией (касается коммерческих CMS).
Думаю, что в случае принятия поправок в ГК РФ, препятствий к использованию перечисленных мер не будет. Они позволят усилить правовую охрану сайта, как объекта авторского права.
Поскольку планируемые изменения в основном касаются содержательной части сайта, то нельзя не коснуться и вопросов правового регулирования контента.
За размещение противоправной информации, либо нарушающей авторские права кто-то должен нести ответственность. Здесь нужно обратить внимание на владельца сайта. Им, в соответствии с п. 17 ст. 2 закона № 149-ФЗ, является лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта, включая порядок размещения информации на нем.
Информацию на сайте может публиковать как сам владелец, так и другие лица.
С владельцем сайта все ясно, обычно именно он является администратором домена, он же определяет политику размещения информации. В соответствии с последней формировать контент могут третьи лица, размещающие на интернет-ресурсе свою информацию.
Круг лиц, имеющих право размещать информацию на сайте, может быть ограничен определенными критериями, а может быть и не ограничен. Зависит от политики, проводимой владельцем сайта.
Соответственно должен быть определен и круг лиц, ответственных за размещение противоправного контента.
Особенно это касается социальных сетей, блогов и форумов, поскольку контент этих категорий сайтов формирует огромное количество людей. Вопрос ответственности за распространение противоправной информации в этом случае стоит особенно остро.
Еще один вопрос касается пределов ответственности хостинг-провайдера (информационного посредника, если в терминах части 4 ГК РФ). Особенно актуальна эта проблема сейчас в связи с усилением борьбы с пиратским контентом.
Все эти темы будут рассмотрены в новой рубрике, частью которой является эта статья. Наверняка вы уже заметили, что в ней рассказывается больше о существующих проблемах, чем об их решении. Ответ на любой из заданных вопросов — тема отдельной статьи. Чтобы не пропустить их выход, рекомендую подписаться на обновления блога.
Главное, что вы должны вынести из этой статьи, это законодательное определение сайта, расположенного в Интернете. В соответствии с действующим законодательством он включает в себя программную часть (CMS, сюда же можно с натяжкой отнести и дизайнерское оформление), содержательную (контент) и доменное имя.
Также сайт можно рассматривать как составное произведение — объект авторского права.
Разобравшись немного в том, что такое сайт, можно переходить уже к более частным вопросам, касающимся его разработки, юридической защиты, правового регулирования блогов и многого другого. Обо всем этом и не только я планирую написать в будущем ряд статей.
А эту я заканчиваю, спасибо за внимание, буду рад вашим комментариям!
Источник: lawyerlife.ru
152-ФЗ обработка перс.данных в информ. системе: что такое сайт в сети «Интернет» совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством ИТС по доменн
Консультация по персональным данным Заказчика по вопросам :
1) перечень персональных данных, обрабатываемых сайтом по ссылке
2) определение типа информационной системы Заказчика;
3) определение типа угроз, актуальных для информационной системы;
4) требования к защите, к уровню защищенности, необходимого для анализируемой информационной системы, необходимые документы;
5) оценка соблюдения норм Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ с рекомендациями по необходимым действиям для их соблюдения.
В п. 13 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» дано определение понятия сайт в сети «Интернет» – это совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».
В п. 3 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» понятие Информационная система определено как совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Для целей настоящего заключения можно говорить об информационной системе как совокупности технологического, информационного, коммуникационного компонентов и человеческих ресурсов, которые позволяют собирать, обрабатывать, хранить и распространять данные для достижения конкретных целей, в том числе персональные данные.
Перечень информации, подпадающий под понятие персональные данные, довольно обширен и не четко определен, кроме того разными органами даются разные правовые оценки данного определения. В данный перечень стоит отнести данные людей, которые регистрируются на сайте, а также cookies, IP-адреса и ID посетителей сайта, которые обрабатываются информационной системой.
Стоит обратить внимание, что согласно предоставленным данным у Заказчика имеется две информационные системы (далее – ИС). Помимо раскрываемой ИС «Клиенты», имеется ИС «Бухгалтерия и кадры», которая имеет ряд особенностей.
Так список персональных данных ИС «Бухгалтерия и кадры» состоит из других элементов. В него входит совокупность данных: ФИО, место, дата рождения, место постоянной или временной регистрации, фотография или видеозапись человека, позволяющие идентифицировать человека, сведения о детях, семейном положении, сведения о заработной плате, информация о судимостях, или их отсутствии, номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах, паспортные данные, СНИЛС, ИНН, фотографии и другая информация, которая относится прямо или косвенно к определенному или определяемому работнику. Отметим, что некоторые из перечисленных данных приобретают статус персональных данных лишь при наличии и других данных, например, ИНН, адрес электронной почты, если не состоит из имени и фамилии и т.д.
В соответствии с п.5 Постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП №1119) и представленной Заказчиком информации можно сделать вывод, что ИС Заказчика – это информационная система, обрабатывающая иные категории персональных данных и персональные данные субъектов персональных данных, не являющихся сотрудниками оператора. ИС «Бухгалтерия и кадры» – это информационная система, обрабатывающая персональные данные сотрудников оператора и биометрические персональные данные, в случае обработки паспортов работников, включая фотографии в них, если же обработка биометрических данных отсутствует, то будет считаться ИС, обрабатывающая персональные данные сотрудников оператора и иные категории персональных данных.
Также следует отметить применение Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687). Согласно представленной информации при работе ИС «Клиенты» не происходит использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных непосредственно при участии человека, что стоит трактовать так, что информационная система персональных данных функционирует с использованием средств автоматизации и потому данное положение к ней не относится.
Данная оценка не распространяется на вторую информационную систему (Бухгалтерия и кадры). Согласно предоставленной анкете использование, уточнение, распространение, уничтожение персональных данных осуществляются при непосредственном участии человека, что свидетельствует о том, что данная информационной система считается функционирующей без использования средств автоматизации, и к ней нормы обсуждаемого положения применимы.
С момента вступления в силу ПП №1119 типы угроз, которые необходимы для установления уровня защищенности, не связываются с видом информационной системы.
В п.6 ПП №1119 устанавливает угрозы 3-х типов, а именно:
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Согласно п.7 ПП №1119 определение, к какому типу относится угроза, возложено на оператора. При этом определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».
Например, организация может задокументировать выбранный тип угроз с помощью создания комиссии, которая утверждает такой тип для всей организации или для конкретной ИС.
В соответствии с Руководящим документом «Защита от несанкционированного доступа к информации» Ч.1 (утв. решением Государственной технической комиссии при Президенте РФ от 4 июня 1999 г. N 114) недекларированные возможности — это функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Реализацией недекларированных возможностей, в частности, являются программные закладки.
С учётом предоставленной информации и всего вышеизложенного можно предположить о соответствии ИС Заказчика критериям угрозы 3-го типа.
С целью ответа на п.4 следует проанализировать п.8 ПП №1119, который устанавливает четыре уровня защищенности.
Источник: xn—-dtbhaacat8bfloi8h.xn--p1ai