Организация и структура информационного законодательства в системе обеспечения информационной безопасности России Текст научной статьи по специальности «Право»

ОРГАНИЗАЦИЯ И СТРУКТУРА ИНФОРМАЦИОННОГО ЗАКОНОДАТЕЛЬСТВА В СИСТЕМЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИИ

Е.А. Проценко

В статье рассматриваются методы нормативного правового обеспечения информационной безопасности, а также дается краткая характеристика основных нормативных правовых актов в области информации, информатизации и защиты информации. Выявлены проблемы нормативного правового обеспечения информационной безопасности России и предложены питии их решения.

Так как проблема обеспечения информационной безопасности носит самостоятельный и комплексный характер, то формирование нормативной правовой базы в этой области должно стать базовым звеном.

В России уже довольно продолжительное время отдельными блоками формируется такая нормативная правовая база, что, по мнению И.Л. Бачило, В. А. Копылова и других специалистов, в скором времени должно привести к созданию «Информационного кодекса». Однако принятые федеральные законодательные акты не в полной мере регулируют многообразие общественных отношений, связанных с развитием информатизации и обеспечением информационной безопасности Российской Федерации, а также вносят разобщенность в терминологический аппарат свойственной данной сфере общественных отношений.

Основной целью формирования таких нормативных правовых актов является создание условий для реализации прав и свобод человека в сфере противодействия угрозам со стороны физических, юридических лиц и государства, особенно в информационной сфере. Такое противодействие проявляется путем ликвидации угроз и минимизации ущерба от проявления угроз посредством предупреждения, а также пресечения и минимизации последствий проявления таких угроз.

В структуре правового обеспечения информационной безопасности как вида деятельности выделяются:

• нормативное правовое обеспечение информационной безопасности;

• правовое обеспечение информационной безопасности как направление юридической науки;

• правовое обеспечение информационной безопасности как система учебных программ и курсов.

Нормативное правовое обеспечение информационной безопасности находит свое отражение в системе нормативных правовых актов, которые выступают в качестве источников права. К числу основных источников можно отнести:

• Конституцию РФ;

• Международные договоры РФ;

• федеральные конституционные законы РФ;

• федеральные законы РФ;

• подзаконные акты Президента РФ и Правительства Российской Федерации;

• акты законодательных и исполнительных органов власти субъектов РФ, а также

• решения Конституционного суда РФ;

• разъяснения Верховного суда РФ и Высшего арбитражного суда РФ.

Средства обеспечения информационной безопасности представлены на рис. 1. Научное правовое обеспечение информационной безопасности включает в себя исследования:

• правовой характеристики объектов национальных интересов в информационной сфере;

• способов проявления угроз;

• правовых механизмов и средств противодействия угрозам;

• способов взаимодействия различных отраслей права и др.

Научное правовое обеспечении информационной безопасности реализуется путем опубликования материалов исследований в периодических изданиях, защиты диссертаций, издания монографий, разработки учебных программ и курсов.

Рис. 1. Средства обеспечения информационной безопасности

Среди наиболее значимых работ следует назвать труды А.Б. Агапова, Ю.М. Батурина, И.Л. Бачило, А.Б. Венгерова, М.А. Вуса, В.А. Дозорцева, В.А. Копылова, Б.А. Костяковского, В.Н. Лопатина, С.А. Муромцева, П.И. Новгородцева, Т.А. Поляковой, М.М. Рассолова, А.П. Сергеева И.А. Ильина, П.Б. Струве, Е.Н. Трубецкой, Б.Н. Чиче-рена, В.И. Ярочкина и некоторых других.

К числу актуальных научных задач правового обеспечения информационной безопасности относятся следующие [1]:

• исследование места и роли проблем информационной безопасности в становлении современного информационного общества;

• исследование проблем обеспечения баланса интересов личности, общества и государства в информационной сфере;

• разработка единого понятийного аппарата (терминов и определений) в сфере информационной безопасности;

• совершенствование правового обеспечения, регламентирующего создание и использование банков данных, а также иных информационных ресурсов, имеющих федеральное значение;

• разработка моделей и правовых механизмов взаимодействия Центра и субъектов Российской Федерации в информационной сфере;

• разработка моделей и правовых механизмов взаимодействия органов власти субъектов Российской Федерации и органов местного самоуправления в информационной сфере.

• разработка методов анализа правовых условий, способствующих проявлению угроз безопасности;

• разработка методов конструирования эффективных правовых механизмов противодействия угрозам;

• разработка методов оценки эффективности правового обеспечения информационной безопасности и ряд других.

Решение этих задач позволит повысить эффективность правового регулирования отношений в области информации, информатизации и защиты информации, а также сформировать условия для подготовки высококвалифицированных специалистов в рассматриваемой области.

В основе каждой из вышеуказанных составляющих правового обеспечения информационной безопасности (нормативное правовое обеспечение, научные исследования, учебные программы и курсы) лежат отдельные принципы, и каждая из этих составляющих использует для достижения стоящей перед ней цели определенные методы.

Принципы нормативного правового обеспечения информационной безопасности заключаются в определении основных составляющих его правовых институтов и норм - законности, целенаправленности, дополнительности, адекватности, полноты и непротиворечивости. Отдельно выделяют принципы правового обеспечения информационной безопасности как направления юридической науки - историзм, системность, объективность.

Методы нормативного правового обеспечения информационной безопасности включают в себя приемы юридического воздействия на общественные отношения с помощью различных комплексов юридических средств:

• метод централизованного регулирования (субординации);

• метод децентрализованного регулирования (координации);

• метод запрета, юридической ответственности, позитивного обязывания;

• метод поощрения, убеждения, принуждения и др.

К общенаучным методам относят диалектический метод, исторический метод, системный метод, К теоретико-правовым методам относят формально-логический и сравнительный методы, а также метод толкования, метод систематизации, метод анализа правовых норм и др.

Переходя к структуре информационного законодательства, следует отметить, что нормативная правовая база правового государства может представлять собой совокупность базовых, отраслевых, специальных и других законодательных и подзаконных актов в информационной сфере. Формирование такой базы происходит на основании Конституции страны путем издания базовых законов, концептуальных и доктриналь-ных актов и документов, которые образуют комплексную систему права (далее - система). Эта система представляет собой совокупность институтов и правовых норм (информационного, конституционного, гражданского, административного и уголовного права) регулирующих правовые отношения, направленные на обеспечение защищенности национальных интересов РФ в информационной сфере, которые состоят из совокупности сбалансированных интересов личности, общества и государства, от внутренних и внешних угроз.

В Концепции правовой информатизации России [2], утвержденной Указом Президента от 28 июня 1993 года, отмечается проблема построения правового государства в условиях обновления общества, становления рыночной экономики, построения современного демократического государства, путем решения глобальной задачи «формирования в России единого информационно-правового пространства, обеспечивающего правовую информированность всех структур общества и каждого гражданина в отдельности, ибо правовая образованность необходима, чтобы расти в условиях демократии».

Достичь данного уровня предполагается за счет информатизации правовой сферы, с одной стороны, и обеспечения законодательного регулирования правоотношений в сфере информатизации - с другой. Такая правовая информатизация должная осуществляться одновременно по следующим направлениям:

• информатизация правотворческой деятельности;

• информатизация правореализационной деятельности;

• правовое обеспечение процессов информатизации.

Основной задачей данной Концепции является создание государственной системы информационно-правового обслуживания, которая будет предоставлять информационно-правовые услуги федеральным, региональным органам власти, гражданам и организациям в любой точке России.

Для решения вышеуказанных проблем Указом Президента Российской Федерации от 4 августа 1995 г. была утверждена Президентская программа «Правовая информатизация органов государственной власти Российской Федерации» [3]. Важнейшим целевым показателем данной Программы явился процесс «создания оптимальных условий для наиболее полного удовлетворения информационно-правовых потребностей органов государственной власти Российской Федерации на основе внедрения прогрессивных, согласованных между собой информационных технологий».

К сожалению, в настоящее время пока не удалось создать полновесную инфраструктуру, обеспечивающую информационно-правовую поддержку органов не только исполнительной, но и законодательной власти РФ, особенно на уровне субъектов РФ.

Не следует забывать о том, что при создании нормативной правовой базы следует исходить из принципа иерархической соподчиненности нормативных правовых актов, так как при несоблюдении этого принципа нарушается единое правовое поле страны. Данное положение вызывает дополнительные трудности и затраты в процессе деятельности органов исполнительной власти, затрудняя их взаимодействие как на федеральном уровне, так и на уровне субъектов РФ.

В Федеральном законе «Об информации, информатизации и защите информации» [4] были введены такие категории, как:

• информационные ресурсы;

• пользование информационными ресурсами;

• информатизация, информационные системы, технология и средства их обеспечения;

• защита информации и прав субъектов в области информационных процессов и информатизации,

На собственников информационных ресурсов, созданных за счет бюджетных средств, в том числе бюджетных средств субъектов РФ, возложена обязанность учесть и защитить такие ресурсы. При этом государственные информационные ресурсы получили статус открытых и общедоступных. Федеральный закон определил режим персональных данных, а также перечень информации, на который запрещено распространять режим ограниченного доступа. Это:

• законодательные и другие нормативные акты, устанавливающие правовой статус органов... власти...;

• документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;

• документы, содержащие информацию о деятельности органов. власти. за исключением сведений, отнесенных к государственной тайне;

• документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов. власти..

В целях создания условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства был принят Федеральный закон от 4 июля 1996 г. «Об участии в международном ин-

формационном обмене» [5]. Он определил правовой режим участия в таком обмене, контроль и ответственность при его осуществлении.

Утверждение Президентом РФ Концепции национальной безопасности [6] и развивающей ее положения Доктрины информационной безопасности РФ [7] определило особенность проблем правового обеспечения информационной безопасности. Доктрина служит основой для решения таких задач, как:

• информационное обеспечение государственной политики РФ;

• обеспечение безопасности ИТКС и систем - как уже развернутых, так и создаваемых на территории России;

• законодательного разграничения полномочий в области обеспечения ИБ РФ между федеральными органами государственной власти и органами государственной власти субъектов РФ;

• совершенствование нормативной правовой базы обеспечения ИБ РФ;

• координации деятельности федеральных ОГВ, ОГВ субъектов РФ, предприятий, учреждений и организаций в области обеспечения ИБ РФ независимо от их формы собственности;

• развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны, в рамках правовых методов обеспечения ИБ РФ;

• внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения ИБ, в целях создания и совершенствования многоуровневой системы обеспечения ИБ РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий между федеральными законодательными актами и законодательными актами субъектов РФ;

• создание правовой базы для формирования в РФ региональных структур обеспечения ИБ, в рамках организационно-технических методов обеспечения ИБ РФ;

• усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ;

• разработка критериев и методов оценки эффективности (достаточности) систем и средств обеспечения ИБ РФ.

• координация деятельности федеральных ОГВ, ОГВ субъектов РФ по формированию и реализации единой государственной политики в области обеспечения ИБ РФ;

• разработка нормативной правовой базы, регулирующей отношения в информационной сфере.

Действующая государственная система защиты информации, государственной тайны, система лицензирования в области защиты информации и сертификации средств защиты информации должны положительно сказаться на решении проблем информационной безопасности России.

В системе Российского информационного законодательства также следует выделить:

• первую и вторую часть Гражданского кодекса Российской Федерации, а также Закон РФ «Об авторском праве и смежных правах»;

• нормы Кодекса РФ «Об административных правонарушениях» и Уголовного кодекса РФ.

Но в перечисленных нормативных актах не затрагиваются проблемы, которые проявились в практической деятельности субъектов информационных правоотношений, а именно:

• не рассмотрена проблема качества и достоверности информации в базах данных, включенных в состав государственных информационных ресурсов и используемых

в органах власти, а также мера ответственности за них различных участников информационных правоотношений;

• отсутствует методика проведения официальной регистрации, экспертизы, сертификации и оценки информационных ресурсов;

• не разработана методика применения норм административного кодекса за нарушения в области информации.

• не установлен адресат ответственности за оценку рисков, возникших при использовании сертифицированных средств защиты.

• не определен порядок формирования информационных ресурсов Российской Федерации;

• не установлена ответственность за неправомерное использование информационных ресурсов;

• не определены права и обязанности субъектов, осуществляющих сбор, обработку и предоставление доступа к информационным ресурсам;

• не проработан механизм страхования информационных рисков.

Для участия в международном информационном обмене и для вступления России в ВТО необходимо привести сертификационные нормативы, а также российские стандарты (создать технические регламенты) в соответствие с международными требованиями.

Процесс информатизации также не может обойтись без значительных инвестиций и создания со стороны государства благоприятных экономических, социальных и других условий для привлечения таких инвестиций из-за рубежа. Следует отметить, что данный процесс уже «набирает обороты» - уже создается необходимая нормативная правовая база, подписываются соответствующие соглашения для создания на территории России крупных ИТ зон со льготным режимом налогообложения.

Но не следует забывать, что процесс информатизации должен проходить с учетом нарастающих угроз в информационной сфере, что потребует значительных затрат для обеспечения информационной безопасности России.

Первым законом в Российской Федерации в сфере национальной безопасности был принят Закон РФ от 5 марта 1992 г. «О безопасности» [8], который закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности. Вторым стал Закон РФ от 21 июля 1993 г. «О государственной тайне» [9]. Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. Некоторые его положения и механизмы настолько устарели, что это потребовало принятия в 2001 году Правительством РФ «Программы по защите государственной тайны» сроком на 5 лет и утверждения Инструкции по защите государственной тайны в органах государственной тайны, на предприятиях и учреждениях и организациях. Но на данный момент он все же требует доработки.

В заключение можно сказать, что существующая на данный период времени в России правовая система может рассматриваться как благоприятная, чего нельзя сказать о правовой системе на уровне субъектов РФ. Так, на начало 2006 года в СевероЗападном федеральном округе принято и вступило в силу 58 нормативных правовых актов в области информации, информатизации и защите информации (в Республики Карелия - 6, в Республики Коми - 4, в Архангельской области - 12, в Вологодской области - 2, в Калининградской области - 4, в Ленинградской области - 1, в Мурманской области - 3, Новгородской области - 3, в Псковской области - 17, в Санкт-Петербурге - 6), что недостаточно для обеспечения защиты информации.

Формирование нормативной правовой базы субъекта РФ в области защиты информации позволит решить целый ряд проблем, в частности, позволит определить:

• правовой статус работ по ЗИ с учетом требований федерального законодательства;

• порядок управления и распоряжения информационными ресурсами, как собственностью субъекта РФ;

• организационно-правовые, организационно-технические и экономические основы, регулирующие взаимоотношения субъектов права в области ЗИ субъекта РФ;

• порядок финансирования работ по формированию, использованию и защите информационных ресурсов;

• ответственность должностных лиц и порядок их взаимодействия при совершенствовании многоуровневой системы ЗИ, в том числе в процессе реформирования органов местного самоуправления, а также повысить эффективность защиты информации, создать систему, соответствующую задачам обеспечения национальной безопасности, безопасности и устойчивого развития регионов и адекватно реагирующую на угрозы безопасности информации в социально-экономической, административно-управленческой, правоохранительной и других сферах деятельности субъектов РФ, находящихся в пределах СЗФО.

Использование органами власти (в том числе и субъектов РФ) в своей повседневной деятельности различных средств информатизации приводит к наращиванию массивов информации, а также оказывает существенное влияние на технологические процессы обработки и защиты данный сведений. Применение этих средств значительно опережает процессы совершенствования и развития соответствующей нормативной и методической базы, поэтому задача формирования федерального законодательства и создание четко выстроенной и согласованной нормативной правовой базы субъектов РФ в области ЗИ с учетом складывающегося уровня информатизации становится более чем актуальной.

Литература

1. Приоритетные проблемы научных исследований в области информационной безопасности Российской Федерации 7.01.2003. Одобрены секцией по информационной безопасности научного совета при Совете Безопасности Российской Федерации (протокол от 28 марта 2001 г. N 1).

2. Указ Президента РФ от 28 июня 1993 г. № 966 »О Концепции правовой информатизации России» (с изменениями от 19 ноября 2003 г., 22 марта 2005 г.).

3. Указ Президента РФ от 4 августа 1995 г. № 808 «О президентских программах по правовой информатизации».

4. Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» (с изменениями от 10 января 2003 г.).

5. Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» (с изменениями от 30 июня 2003 г., 29 июня 2004 г.).

6. Концепция национальной безопасности Российской Федерации (утв. Указом Президента РФ от 17 декабря 1997 г. № 1300), (в ред. Указа Президента РФ от 10 января 2000 г. № 24).

7. Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. № ПР-1895.

8. Закон РФ от 5 марта 1992 г. № 2446-[ «О безопасности» (с изменениями от 25 декабря 1992 г., 24 декабря 1993 г., 25 июля 2002 г.).

9. Закон РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне» (с изменениями от 6 октября 1997 г., 30 июня, 11 ноября 2003 г., 29 июня, 22 августа 2004 г.).