CC BY
89
Правовое
регулирование информационной безопасности
Е.А. Проценко
В статье изложены некоторые подходы по реализации первоочередных мероприятий государственной политики в области обеспечения информационной безопасности субъектов РФ. Автором делается вывод о том, что проблема обеспечения информационной безопасности носит комплексный характер, поэтому для ее решения необходимо сочетание правовых (законодательных), организационных (организационно-право-вых) и программно-технических мер.
The article touches upon some approaches to realizing government's policy on providing information safety of the subjects of RF. The author comes to the conclusion that the problem requires the combination of legal (legislative), organizational (legal-organizational) and program-technical measures.
ти (с точки зрения государственных интересов) в последние годы приобрела весьма актуальный характер и рассматривается как одна из приоритетных государственных задач, как важный аспект национальной безопасности. Необходимо отметить, что актуальность названной проблемы вызвана также рядом объективных факторов, играющих существенную роль в жизни общества нашей страны, которые обусловлены переходом её в иную общественно-экономическую формацию - рыночную экономику и в перспективе - к информационному обществу. Среди этих факторов, на наш взгляд, особо следует выделить следующие:
- неуклонное повышение роли информации в обеспечении жизнедеятельности общества и государства, реализуемое в процессах информатизации и информационного управления, в связи с тем, что информационный сектор (информация, знания, информационные услуги) большинства стран растет, в целом, быстрее, чем экономика;
- усиливающуюся интенсификацию процессов информатизации различных сфер деятельности по причине того, что информационные ресурсы, технологии и информационная инфраструктура в совокупности образуют глобальную информационную среду современного общества;
- устойчивую тенденцию органичного слияния традиционных (бумажных) и ав-
Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Национальный информационный ресурс становится сегодня одной из главных основ экономического роста любого государства. Информация, проникая во все сферы деятельности государства, приобретает конкретные политические, материальные и стоимостные выражения, определяемые рядом факторов, в том числе и размерами наносимого ущерба, вызванного снижением её качества, возможности утраты, порчи и доступности.
Проблема информационной безопаснос-
Проценко Евгений Александрович - аспирант факультета компьютерных технологий и управления кафедры безопасных информационных технологий Санкт-Петербургского государственного университета информационных технологий, механики и оптики (г. Санкт-Петербург)
томатизированных (безбумажных) технологий обработки информации;
- резкую децентрализацию использования современных средств электронно-вычислительной техники (переход к персональному использованию автоматизированных рабочих мест) и др.;
- расширение рабочего пространства международных сетей обмена данными (Internet и другие), в связи с чем, информация из национального ресурса с развитием телекоммуникационных и информационных технологий превращается в мировой ресурс.
Соглашаясь с мнением некоторых авторов [1], можно сделать вывод, что как и всякое достижение науки информатизация общества несет в себе положительные и отрицательные черты, поскольку высочайшая степень автоматизации, к которой стремится современное общество, ставит его в зависимость от степени безопасности (уязвимости) используемых им информационных технологий, от которых, в свою очередь, зависит благополучие и даже жизнь множества людей.
С тех пор, как в 1992 году «информационная безопасность» нормативно закреплена в качестве самостоятельной составляющей безопасности, в Законе Российской Федерации «О безопасности» [2], статья 13, существенно активизирована деятельность государства по созданию условий для развития информационной сферы общества и обеспечения ее функционирования в условиях существования угроз различного характера.
В этом плане несомненный интерес вызывает первое Послание Президента В. Путина Федеральному Собранию Российской Федерации от 8 июля 2000 года, в котором подчеркивается, что «только действующий глава государства вправе ставить перед органами власти программные задачи, и только у него есть реальная возможность организовать их эффективное выполнение», а также даны выводы, наиболее важными из которых представляются следующие: во-первых, «в России наступает период, когда власть обретает моральное право требовать соблюдения установленных государством норм», во-вторых, «задаются новые законодательные параметры - тем самым задаются новые правила».
В целях укрепления стратегических позиций России данные «законодательные
параметры» нашли отражение в целом массиве документов в области национальной безопасности, а именно: в январе 2000 года Президент РФ подписал новую редакцию «Концепции национальной безопасности Российской Федерации» [3]; в апреле -«Военную доктрину Российской Федерации» [4]; в июне - «Концепцию внешней политики Российской Федерации» [5], в которой признано верховенство внутренних целей над внешними; в июле - «Окинавс-кую хартию глобального информационного общества» [б]; в сентябре - «Доктрину информационной безопасности Российской Федерации» [7].
Принятие документов продолжилось в 2001 и 2002 годах: в июле 2001 года принята «Морская доктрина Российской Федерации на период до 2020 года» [8]; » в августе 2001 года - «Основы государственной политики Российской Федерации по военному строительству на период до 2010 года»; в марте 2002 года - «Основы политики Российской Федерации в области развития науки и технологий на период до 2010 года и дальнейшую перспективу» [9]; в августе 2006 года приняты два Федеральных закона РФ «Об информации, информационных технологиях и о защите информации» [10], «О персональных данных» [11].
Отметим, что не менее важной оказалась работа Совета Безопасности Российской Федерации по разработке «Основных направлений нормативного правового обеспечения информационной безопасности Российской Федерации» (далее - «Основные направления...») и «Основ государственной политики в области обеспечения информационной безопасности субъектов Российской Федерации» (далее - «Основы государственной политики в области обеспечения ИБ...), одобренных на заседании Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности (протоколы №4.1 от 27 ноября 2001 года и №1.3 от 27 марта 2003 года).
Данные документы развивают соответствующие положения «Концепции национальной безопасности Российской Федерации» и «Доктрины информационной безопасности». Остановимся на их краткой характеристике.
«Основные направления...» определяют:
- цели и принципы нормативного пра-
вового обеспечения информационной безопасности Российской Федерации;
- направления противодействия угрозам информационной безопасности и задачу их нормативного правового обеспечения;
- первоочередные меры по совершенствованию нормативного правового обеспечения информационной безопасности Российской Федерации.
Кроме того, реализация первоочередных мер по нормативному правовому обеспечению информационной безопасности Российской Федерации осуществляется в рамках плановой деятельности субъектов права законодательной инициативы.
«Основы государственной политики в области ИБ...» служат для:
- подготовки предложений по совершенствованию правового и организационного обеспечения информационной безопасности субъектов Российской Федерации;
- определения основных направлений деятельности органов государственной власти в области обеспечения информационной безопасности субъектов Российской Федерации;
- разработки предложений по реализации мероприятий обеспечения информационной безопасности субъектов Российской Федерации, а также определяют, что информационная сфера субъекта РФ представляет собой часть информационной сферы Российской Федерации, в управлении которой субъект РФ обладает всей полнотой государственной власти, что обусловливает зависимость информационной безопасности Российской Федерации от информационной безопасности субъектов РФ.
Реализация первоочередных мероприятий государственной политики в области обеспечения информационной безопасности субъектов Российской Федерации, перечисленных в настоящем документе, осуществляется в рамках целевых программ федерального уровня и субъектов Российской Федерации.
На основании вышеизложенного, можно сделать вывод о том, что проблема обеспечения информационной безопасности носит комплексный характер, поэтому для её решения необходимо сочетание правовых (законодательных), организационных (организационно-правовых) и программно-технических мер. Представляется целесообразным дать им общую характеристику.
Правовой (законодательный) уровень обеспечения информационной безопасности - это комплексная задача, которая задействует правовые
нормы различных отраслей права -предназначен для решения стратегических задач на основе юридических и нормативно-технических методов и подходов, путем разработки комплекса нормативно-правовых актов и положений, регулирующих информационные отношения различных субъектов в обществе, руководящих и нормативно-методических документов в сфере обеспечения информационной безопасности. При реализации задачи обеспечения информационной безопасности правовые меры граничат с методами программно-технического характера, при этом, они активно воздействуют друг на друга.
Программно-технические меры подразумевают под собой проведение мероприятий по предотвращению утечки обрабатываемой (обсуждаемой) информации путём исключения несанкционированного доступа к ней, предотвращения специальных воздействий, вызывающих разрушение, уничтожение, блокирование и искажение информации или сбои в работе средств информатизации и связи, выявления «закладных» устройств в технических средствах обработки информации, не предусмотренных спецификацией оборудования, применения активных и пассивных средств защиты информации, в том числе с применением криптографических методов шифрования.
Организационные меры предусматривают совершенствование методов управления и структуры системы обеспечения информационной безопасности, сертификацию средств защиты информации, аттестацию объектов информатизации по требованиям безопасности информации, стандартизацию способов защиты информации, контроль эффективности проводимых мероприятий, направленных на защиту информации.
Надо заметить, что законодательство в области информационной безопасности выполняет две основные функции [12]:
- разработка механизмов, норм и правил, обеспечивающих заданный уровень информационной безопасности;
- контроль исполнения норм и правил в области информационной безопасности.
Однако сегодня в России, по мнению некоторых авторов [13], противоречивость
и неразвитость правового регулирования общественных отношений в области информационной безопасности и информационной сфере, в целом, приводят к серьезным негативным последствиям.
На наш взгляд, [14] современный этап развития федерального законодательства характеризуется большим массивом действующих нормативно-правовых актов в информационной сфере. Растёт количество несистематизированных разобщённых правовых актов, многие их которых фактически утратили силу, дублируют или подменяют и нередко противоречат друг другу. Данный факт позволяет сделать вывод о том, что действующее законодательство ещё не в полной мере соответствует общественным отношениям, складывающимся в информационной сфере.
Вышеобозначенная проблема наблюдается не только в информационной сфере. Отчасти такое положение дел можно связать с проводимой в стране административной реформой, одной из целей которой является завершение процесса разграничения полномочий между федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации.
В связи с чем автор в своем докладе на XXXVI научной и учебно-методической конференции СПбГУ ИТМО, прошедшей в феврале 2007 года, подчеркнул, что регулирование информационных правоотношений, возникающих при проведении мероприятий по защите информации, действительно отнесены к ведению Российской Федерации, однако, обязанность по принятию (в том числе правовых, организационных, программно-технических) мер к защите информации возлагается на обладателей такой информации, в данном случае - органы власти субъектов Российской Федерации [15].
Следует отметить, что вопросы, связанные с защитой государственной тайны, достаточно полно регламентированы федеральными нормативными правовыми актами в виде системы дозволений, так как это наиболее защищаемая в каждой стране часть государственных информационных ресурсов, однако, вопросы защиты информации, содержащей сведения конфиденциального (служебного) характера, федеральным законодательством не урегулиро-
ваны или урегулированы не в полном объеме, и их решение, отчасти, находится в компетенции субъектов РФ и муниципальных образований.
По мнению автора, для регулирования деятельности в области защиты такой информации наряду с федеральными нормативными правовыми актами должна разрабатываться и использоваться нормативная база в области защиты информации субъектов РФ, т.е. должно развиваться региональное правотворчество [17] в области информационной безопасности, безопасности информации и защиты информации.
Особые сложности возникают в вопросе нормативно-правового регулирования защиты сведений, отнесенных к служебной тайне. Сегодня официально понятие «служебная тайна» не определено. На данный момент в России действуют всего 2 нормативных правовых акта, в которых используется схожая терминология - «служебные сведения» [19] и «служебная информация ограниченного распространения» [20].
В проекте ФЗ «О служебной тайне» под сведениями, составляющими служебную тайну (служебная тайна), понимаются конфиденциальные сведения, образующиеся в процессе управленческой деятельности органа или организации, распространение которых препятствует реализации органом или организацией предоставленных ему полномочий либо иным образом отрицательно сказывается на их реализации, а также конфиденциальные сведения, полученные органом или организацией в соответствии с их компетенцией в установленном законодательством порядке.
Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» [19] как нормативный правовой акт ввел понятие «служебные сведения» и, по сути, напрямую распространил институт служебной тайны на всю систему органов государственной власти.
Впервые в юридическом языке термин «служебная тайна» был упомянут в «Инструкции по обеспечению режима секретности в министерствах и ведомствах СССР», утвержденной Постановлением СМ СССР от 12.05.1987 №556-126, которая ввела термин «государственные секреты» с разделением его по степени важности на «государственную» и «служебную» тайны.
В новой действующей редакции «Инструкции по обеспечению режима секретности в Российской Федерации», утвержденной Постановлением Правительства РФ от 05.01.2004 №3-1, термин «служебная тайна» исключен.
Следующее свое отражение термин «служебная тайна» нашел в пункте «г» статьи 259 Уголовного кодекса РСФСР от 27.10.1960 года [21] в рамках термина «военная тайна» - это военные сведения, не подлежащие оглашению, но не являющиеся государственной тайной.
Анализ вышеуказанных инструкций и статей закона приводит к мысли, что в Российской Федерации назрела острая необходимость в скорейшем принятии Федерального закона «О служебной тайне», регулирующего комплекс отношений, возникающих в связи с отнесением сведений к служебной тайне, их защитой и снятием ограничений на доступ к указанным сведениям в целях обеспечения прав, свобод и законных интересов граждан и организаций, осуществления установленных законодательством Российской Федерации полномочий федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации.
Законопроект федерального закона внесен в Государственную Думу 24 декабря 2004 года (№124871-4) и рассмотрен лишь 18 апреля 2006 года (выписка из протокола заседания Совета Государственной думы от 18 апреля 2006 г. №154). Однако, по нашему мнению, в законопроекте необходимо четко определить каким образом должна защищаться информация ограниченного доступа в органах законодательной и судебной властей, так как они в большинстве случаев не относятся к субъектам исполнительной власти.
Принятие ФЗ «О служебной тайне» также необходимо, ввиду того, что на практике при реализации требований органами власти Российской Федерации «Специальных требований и рекомендаций по технической защите конфиденциальной информации», утверждённых приказом Гос-тех-комиссии России от 30.08.2002 №282 (например, в части разработки «Перечня сведений, отнесенных к конфиденциальной (служебной) тайне»), возникают сложности с отнесением циркулирующей и обрабатываемой информации в этих органах
к категории «коммерческая» или «служебная» тайна, в силу того, что круг видов деятельности, которыми они могут заниматься, необычайно многообразен и предполагает взаимодействие с различными субъектами правоотношений. Разница в понятиях в данном случае принципиальна. Определенную сложность при этом вызовет проблема правовой сбалансированности между институтами государственной, коммерческой и служебной тайн.
Как мы видим, в поле нормативно-пра-вого регулирования вопросов информационной безопасности (на федеральном уровне) проблем действительно много. Исходя из тематики нашего исследования, возникает задача анализа нормативно-правового регулирования информационной безопасности на уровне субъекта Российской Федерации.
Рассматривая вышеобозначенную задачу в своей статье [22], автор отмечает, что на начало 2006 года в Северо-Западном федеральном округе
наметилась положительная динамика в разработке и принятии исполнительными органами власти субъектов РФ нормативных правовых актов по вопросам регулирования в области защиты информации. К примеру, в указанный период действовало 58 нормативных правовых актов (в Республике Карелия - 6, в Республике Коми - 4, в Архангельской области - 12, в Вологодской области - 2, в Калининградской области - 4, в Ленинградской области - 1, в Мурманской области - 3, Новгородской области - 3, в Псковской области - 17, в Санкт-Петербурге - 6).
В тоже время, автор утверждает, что принятые нормативные правовые акты скорее носят декларативный характер, не охватывают весь комплекс требований федерального законодательства (в том числе и Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России)) к нормативной и методической документации органов государственной власти субъектов Российской Федерации в области защиты информации. В этом плане за прошедший 2006 год ситуация практически не изменилась.
В целях устранения данной проблемы ФСТЭК России через свои территориальные органы в соответствии с Указом Президента Российской Федерации от
16.08.2004 №1085 организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею непосредственно и (или) через свои территориальные органы.
Отметим, что организация деятельности и руководство осуществляются непосредственно ФСТЭК России путем издания нормативных правовых актов и методических документов в пределах компетенции ФСТЭК России, а также через территориальные органы ФСТЭК России путем определения данным органам на год основных задач по вопросам организации и совершенствования государственной системы защиты информации в федеральных округах.
Управление ФСТЭК России по Северо-Западному федеральному округу (далее -Управление) решает поставленные задачи путем реализации своих полномочий по осуществлению методического руководства деятельностью органов власти, органов местного самоуправления и организаций, находящихся в пределах Северо-Западного федерального округа, в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации.
Данные полномочия реализуются Управлением ежегодно определением основного направления деятельности на текущий год и задач органам власти, органам местного самоуправления и организациям, находящимся в пределах Северо-Западного федерального округа, по совершенствованию государственной системы защиты информации и региональных систем технической защиты информации субъектов Российской Федерации, обеспечению безопасности информации в ключевых системах информационной инфраструктуры.
Задачи для органов власти и организаций на год определяются на основании указаний Президента Российской Федерации и директора ФСТЭК России, а так ж б исходя из анализа фактического состояния государственной системы защиты информации в Северо-Западном федеральном округе и результатов работы по ТЗИ, проделанной органами власти и организациями, находящимися в пределах Северо-Западного федерального округа, за прошедший год.
Вышеуказанные задачи органам власти
и организациям, находящимся в пределах Северо-Западного федерального округа, а также сведения о нормативных правовых актах и методических документах по вопросам деятельности ФСТЭК России, вступивших в силу в прошедшем 2006 году, оформляются в виде «Методических указаний Управления ФСТЭК России
по Северо-Западному федеральному округу для органов власти и организаций в области ТЗИ».
В общем виде нормативные правовые акты в области информационной безопасности, безопасности информации и защиты информации (далее - «система документов в области защиты информации») субъектов Российской Федерации, организационно-распорядительные документы органов исполнительной и судебной властей Российской Федерации, органов законодательной, исполнительной и судебной властей субъектов Российской Федерации, органов местного самоуправления, подведомственных им организаций и других организаций должны образовать систему документов в области защиты информации.
Информационное наполнение данной системы документов должно определяться с учетом требований нормативных правовых актов в области защиты информации, нормативных документов Гостехкомиссии (ФСТЭК) России, особенностями видов деятельности, составом и особенностями объектов защиты.
Основным содержанием работы по созданию и совершенствованию системы документов в области защиты информации является процесс приведения ее в соответствие с требованиями нормативных правовых актов в области защиты информации Российской Федерации, нормативных документов ФСТЭК России и поддержания их в актуальном состоянии, который включает в себя:
- оценку наличия в органах власти и организациях нормативных правовых актов в области защиты информации и нормативных документов ФСТЭК России и методических документов её территориальных органов;
- анализ содержания документов по защите информации на соответствие действующему федеральному и региональному законодательству;
- организацию работы по укомплектова-
нию необходимыми документами по защите информации подчинённых (нижестоящих) структурных подразделений.
Нормативные правовые акты субъектов Российской Федерации в области защиты информации, как правило, должны включать в себя законы субъектов Российской Федерации, постановления и распоряжения главы высшего исполнительного органа государственной власти субъекта Российской Федерации и другие документы.
Рассмотренные вышеизложенные позиции позволяют нам сделать вывод о том, что современные условия настоятельно требуют и определяют необходимость комплексного подхода к формированию законодательства в области информационной безопасности, безопасности информации и защиты информации, его состава и качественного нормативного наполнения не только на федеральном уровне, но и на уровне субъектов Российской Федерации.
Литература и источники:
1. Информационная безопасность систем организационного управления. Теоретические основы: в 2 т. / H.A. Кузнецов, В.В. Кульба, Е.А. Микрин и др.; отв. Ред. H.A. Кузнецов, В.В. Кульба. Ин-т проблем передачи ин-форм. РАН. - М: Наука, 2006. - С. 20.
2. Закон РФ от 05.03.1992 г. №2446-1 (Ред. от 25.07.2002) «О безопасности» // Ведомости СНД и ВС РФ от 09.04.1992. - №15. - Ст. 769; Российская газета от 06.05.1992. - №103.
3. Указ Президента РФ от 17.12.1997 №1300 (Ред. от 10.01.2000) «Об утверждении концепции национальной безопасности Российской Федерации» / Российские вести от 25.12.1997. - №239.
4. Указ Президента РФ от 21.04.2000 №706 «Об утверждении военной доктрины Российской Федерации» / Российская газета от 25.04.2000. - №80.
5. Концепция внешней политики Российской Федерации / Российская газета от 11.07.2000. - №133.
6. Окинавская Хартия Глобального Информационного Общества от 22.07.2000 г. №б/н // Дипломатический вестник, август 2000 года. - №8.
7. Доктрина информационной безопасности Российской Федерации (Утв. Президентом РФ 09.09.2000. - №Пр-1895)
/Российская газета от 28.09.2000. - №187.
8. Морская доктрина Российской Федерации на период до 2020 года (Утв. Президентом РФ 27 июля 2001 года).
9. Письмо Президента РФ от 30.03.2002. №Пр-576 «Основы политики Российской Федерации в области развития науки и технологий на период до 2010 года и дальнейшую перспективу».
10. Федеральный закон от 27.07.2006. №149-ФЗ «Об информации, информационных технологиях и о защите информации» /Российская газета от 29.07.2006. - №165.
11. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» / Российская газета от 29.07.2006. - №165.
12. Проблемы законодательного обеспечения национальной безопасности Российской Федерации / Под ред. C.B. Степашина. - М: Финансовый контроль, 2001.
13. Информационная безопасность систем оранизационного управления. Теоретические основы: в 2 т. / H.A. Кузнецов, В.В. Кульба, Е.А. Микрин и др.; [Отв. ред. H.A. Кузнецов, В.В. Кульба]; Институт проблем передачи информации РАН. - М. : Наука, 2006. - С. 5.
14. Проценко, Е.А. Структура федерального законодательства РФ в области защиты информации / Е.А. Проценко // Вестник II межвузовской конференции молодых ученых. Сборник научных трудов / Под ред. В. Л. Ткалич. Том 1. - СПб: СПбГУ ИТМО, 2005. - С. 192.
15. Под органами государственной власти субъектов Российской Федерации согласно абзац 1 ст. 2[16], понимаются: (представительный) орган государственной власти субъекта Российской Федерации, высший исполнительный орган государственной власти субъекта Российской Федерации, иные органы государственной власти субъекта Российской Федерации, образуемые в соответствии с конституцией (уставом) субъекта Российской Федерации.
16. Федеральный закон от 06.10.1999. №184-ФЗ (ред. от 29.12.2006) «Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации» / Российская газета от 19.10.1999. - №206.
17. Региональное правотворчество - «это направленная на достижение целей развития области в интересах ее жителей орга-
низационно оформленная публичная деятельность правотворческих органов в рамках их компетенции по выявлению потребности в нормативном регулировании общественных отношений и создании в соответствии с выявленными потребностями новых региональных правовых актов, изменении и отмене действующих» [18].
18. Каменская, Е.В. Региональное правотворчество в Российской Федерации (вопросы теории): Дисс. ... к. ю. н. / Е.В. Каменская. - Москва. 2005. - С. 20 - 21.
19. Указ Президента РФ от 06.03.1997. №188 (Ред. от 23.09.2005) «Об утверждении перечня сведений конфиденциального характера» / Российская газета от 14.03.1997. -№51.
20. Постановление Правительства РФ от
03.11.1994. №1233 «Об утверждении положения о порядке обрахцения со служебной информацией ограниченного распространения в федеральных орган ах исполнительной власти» / «Собрание зако нодательства РФ» от 25.07.2005. - №30 (ч. XI). - Ст. 3165.
21. Закон РСФСР от 27.10.1960 «Об утверждении уголовного кодекса РСФСР» / «Свод законов РСФСР». 1988г. - Т. 8. - С. 497.
22. Проценко, Е.А. Информационная безопасность субъектов Российской Федерации как составная часть национальной безопасности России / Е.А. Проценко // Научно-технический вестник СПбГУ ИТМО. Выпуск 25. Исследования в области информационных технологий / Главный редактор, д.т.н., профессор В.Н. Васильев. - СПб: СПбГУ ИТМО, 2006. - С. 114 - 115.
