CC BY
745
Д.В. Перегудов,
УВД по Липецкой области
ПРАВОВЫЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ В ДЕЯТЕЛЬНОСТИ ПОДРАЗДЕЛЕНИЙ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ ОРГАНОВ ВНУТРЕННИХ ДЕЛ
Обеспечение информационной безопасности в рамках системы органов внутренних дел представляет собой организационное объединение сил и средств, механизмов, способов и методов, функционирующих под контролем жесткого соблюдения действующих нормативно-правовых актов в области защиты информации. При этом проблема обеспечения информационной безопасности теснейшим образом связана не только с решением научно-технических задач, но и с вопросами правового регулирования отношений информатизации, развитием законодательной базы. В связи с этим, можно сделать вывод о том, что защита информации — это комплекс правовых, организационных и инженерно-технических мер (мероприятий), направленных на предотвращение утечки охраняемой информации, несанкционированного доступа к ней. В свою очередь, правовые аспекты защиты информации приобретают первостепенное значение в блоке мер защиты. Это связано с тем, что правовая регламентация отношений в сфере экономической безопасности предопределяет существование всех остальных мер как фундаментальная основа, разделяющая поведение субъектов (пользователей, собственников и иных лиц) информационных отношений на «возможное (разрешенное)» и «запрещенное» в отношении объекта — информации. Организационные и технические меры лишь упорядочиваются и узакониваются правовой базой.
В органах внутренних дел правовое обеспечение информационной безопасности строится на основе федерального законодательства Российской Федерации. Нормативно-правовая база на ведомственном уровне является преемственником Закона РФ «О государственной тайне», Закона РФ «Об информации, информационных технологиях и о защите информации», Указа Президента Российской Федерации от 03.04.1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации информационных средств, а также предоставления услуг в области шифрования информации», постановлений Правительства Российской Федерации от 15.04.1995 г. № 333 «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», от
26.06.1995 г. № 608 «О сертификации средств защиты информации», от 15.09.1993 г. № 912-51 «О государственной системе защиты информации Российской Федерации от иностранных разведок и от её утечки по техническим каналам», от 05.01.2004 г. № 3-1 «Об утверждении Инструкции по обеспечению режима секретности в Российской Федерации», а также на основе «Специальных требований и рекомендаций по защите информации, составляющей государственную тайну, от утечки по техническим каналам», утвержденных Решением Гостехкомиссии России от 23.05.1997 г. № 55, Решением Гостехкомиссии России от 03.10.1995 г. № 42 «О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от её утечки по техническим каналам на объекте», от 16.07.1996 г. № 49 «Модель иностранных технических разведок на период до 2010 года» («Модель ИТР-2010») и дру-
гих законодательных и иных нормативных правовых актов в области информационной безопасности, регламентирующих порядок и правила технической защиты информации в Российской Федерации.
Особенность информационного обеспечения в органах внутренних дел, в частности в подразделениях экономической безопасности, состоит в том, что сотрудники данных подразделений осуществляют свою деятельность в рамках работы и обращения с информацией, составляющей государственную тайну.
Государственная тайна — это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Подразделения экономической безопасности органов внутренних дел работают со сведениями в области оперативнорозыскной деятельности, т.е., основываясь на Законе РФ от 12.08.1995 г. № 144-ФЗ « Об оперативно-розыскной деятельности». Отнесение к сведениям, составляющим государственную тайну, производится в соответствии с Перечнем сведений, отнесенных к государственной тайне, утвержденным Указом Президента Российской Федерации от
30.11.1995 г. № 1203, и в соответствии с правилами отнесения сведений, составляющих государственную тайну, к различным степеням секретности, утвержденными постановлением Правительства Российской Федерации от 04.09.1995 г. № 870, а также на основании перечня сведений, подлежащих засекречиванию в системе МВД России, определяемого министром внутренних дел Российской Федерации. При этом допуск лиц к сведениям, составляющим государственную тайну, производится в соответствии с инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утвержденной постановлением Правительства Российской Федерации от 28.10.1995 г. № 1050. В органах внутренних дел приказом МВД России от 02.03.2002 г. № 200 ДСП оговаривается развернутый перечень сведений, подлежащих засекречиванию.
В свою очередь, подразделения БЭП также работают со сведениями, составляющими служебную тайну. К ним относится информация ограниченного распространения, доступ к которой ограничен органами государственной власти во избежание нанесения ущерба как органам внутренних дел, так и безопасности органов государственной власти Российской Федерации. Отнесение информации к служебным сведениям ограниченного распространения производится на основании Примерного перечня служебных сведений ограниченного распространения и документов, их содержащих, образующихся в процессе деятельности органов внутренних дел, определяемого министром внутренних дел Российской Федерации. В соответствии с Указом Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» служебные сведения ограниченного распространения, циркулирующие в подразделениях БЭП, относятся к сведениям конфиденциального характера (конфиденциальной информации).
Основополагающими ведомственными нормативными актами в деятельности подразделений по борьбе с экономическими преступлениями в сфере обеспечения информационной безопасности являются приказ МВД России от 05.07.2001 г. № 029 «Об утверждении Временного наставления по технической защите информации в органах внутренних дел Российской Федерации и внутренних войсках Министерства внутренних дел Российской Федерации» и приказ МВД России от 15.03.2005 г. № 015 «Об утверждении Инструкции по обеспечению режима секретности в органах внутренних дел». Первый нормативный документ характеризует требования организационнотехнического плана защиты охраняемой законом информации в деятельности подразделений БЭП, в частности, определяет единые технико-математические меры защиты
информации во всех подразделениях органов внутренних дел, осуществляющих свою работу со сведениями, отнесенными к государственной и служебной тайнам. Приказ МВД России № 029:
• определяет объекты технической защиты информации, возможные угрозы данным объектам;
• устанавливает единый и неотъемлемый (обязательный) порядок реализации мероприятий технической защиты информации;
• устанавливает единообразную форму документов, оформляемых на объект информационной защиты, на основании которых при их обработке устанавливается режим технической защиты;
• определяет порядок контроля технической защиты и лицензирования в данной области.
Несмотря на то, что данный нормативный документ был выработан еще в 2001 году, в настоящее время в подразделениях экономической безопасности УВД по Липецкой области на районном уровне условия информационной деятельности не в полной мере соответствуют требованиям настоящего приказа. В первую очередь, это касается материального обеспечения объектами, на которых ведется обработка информации (электронно-вычислительная техника, технические средства приема, передачи и обработки информации: звукозаписи, звуковоспроизведения, переговорные и телевизионные устройства, средства тиражирования документов и другие), согласно установленным нормам положенности. Даже если такие объекты и имеются в подразделениях БЭП, то они — в единичных экземплярах и в моральном и техническом плане отстают от современных и передовых средств и технологий в этой области. В свою очередь, как недостаток следует также отметить о слабых знаниях сотрудников подразделений БЭП, эксплуатирующих объекты технической защиты информации, нормативного законодательства по технической защите информации при вступлении в должность и в течение всего периода исполнения своих служебных функциональных задач. При этом еще и сказывается постоянная текучесть кадров в данных подразделениях.
Приказ МВД России № 029-2001 г. в большей части связан с техническим обеспечением объектов информационной защиты, что включает в себя:
• установление их соответствия предъявляемым требованиям технической защиты и документальное закрепление проведенных технических мероприятий защиты информации, категорирование объектов;
• составление технических паспортов на данные объекты;
• разработку инструкции по обеспечению организационных (режимных) и
технических мер защиты информации;
• проведение специальных исследований, специальных проверок и обследований данных объектов;
• оформление предписания на эксплуатацию объекта;
• проведение аттестации объекта и мероприятий по контролю технической
защиты информации.
Как свидетельствует практика, в районных отделах внутренних дел в силу малочисленного количества объектов информационной защиты работа по технической защите охраняемой информации ведется формально и сводится лишь к оформлению однообразных документов, о смысловом значении которых не имеют представления сотрудники, эксплуатирующие объекты, в отношении которых должны действовать технические меры защиты информации в соответствии с приказом МВД России № 029-2001 г.
Более предметным и ответственным шагом в правовом поле стала разработка приказа № 015-2005 г., включившего в себя меры организационного и технического характера информационной защиты. Закрепленные в настоящем приказе требования ка-
саются охраны сведений, составляющих государственную тайну, и секретной служебной информации, касающейся текущей деятельности подразделений органа внутренних дел. Данный ведомственный акт устанавливает четкий и жесткий порядок обращения и использования объектов информационной защиты — режим, обязательный для исполнения всеми субъектами информационных отношений под угрозой наступления предусмотренной действующим законодательством ответственности. Приказ МВД России № 015-2005 г. регулирует отношения, связанные с приемом, обработкой, хранением, использованием, передачей значимой и охраняемой законом информации в подразделениях БЭП, контролем за соблюдением предписанных норм, определением мер ответственности за их нарушение, устанавливает единый порядок в отношениях с субъектами иных органов внутренних дел — внешними субъектами. Таким образом, правовая охрана объектов информационной защиты является основой для разработки и определения организационных и технических мер защиты информации в подразделениях БЭП.
Важным направлением в сфере законодательства по вопросам информационной безопасности в органах внутренних дел является определение юридической ответственности за совершение противоправного деяния в отношении объекта защиты.
В юридической науке и действующем законодательстве юридическая ответственность может выступать в четырех вариациях:
• гражданская;
• административная;
• дисциплинарная;
• уголовная.
Учитывая, что сотрудники БЭП, работающие со сведениями, составляющими государственную тайну, являются должностными лицами органа исполнительной власти, на них лежит бремя жесткой ответственности за разглашение данных сведений либо их утрату. В подобных случаях может быть лишь два вида ответственности:
1) дисциплинарная;
2) уголовная.
Их разграничение зависит лишь от характера совершенного правонарушения, и отличие состоит в специфических мерах наказания и особом порядке их применения.
Дисциплинарная ответственность заключается в наложении на сотрудника БЭП дисциплинарного взыскания полномочиями начальника органа внутренних дел. Дисциплинарными мерами наказания являются: предупреждение, выговор, строгий выговор, увольнение из органов внутренних дел. Однако в органах внутренних дел за нарушение приказа МВД России № 015-2005 г. предусмотрена строгая дисциплинарная ответственность, выражающейся в наложении на сотрудника последних трех из вышеперечисленных видов взыскания.
Дисциплинарная ответственность может применяться к сотруднику экономической безопасности в случае халатного отношения к исполнению своих должностных обязанностей, выразившегося в нарушении режима секретности, правил обращения со сведениями, относящимися к служебной тайне — конфиденциальной информации, не имея на это какого-либо противоправного умысла.
Наиболее жесткими мерами воздействия характеризуется уголовная ответственность, которая применяется в судебном порядке к лицу, виновному в совершении преступления, т.е. виновного, общественно-опасного деяния, предусмотренного Уголовным кодексом Российской Федерации. Основные виды преступлений в области защиты информации приведены в таблице.
Виды преступлений в области защиты информации
Статья УК РФ
Диспозиция статьи УК РФ
Мера наказания (санкция)
Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронновычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети; Наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет;
то же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ 1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами; Наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев;
те же деяния, повлекшие по неосторожности тяжкие последствия наказываются лишением свободы на срок от трех до семи лет
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети 1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред; Наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет;
то же деяние, повлекшее по неосторожности тяжкие последствия наказывается лишением свободы на срок до четырех лет
Статья 275. Г осударственная измена Государственная измена, то есть шпионаж, выдача государственной тайны либо иное оказание помощи иностранному государству, иностранной организации или их представителям в проведении враждебной деятельности в ущерб внешней безопасности Российской Федерации, совершенная гражданином Российской Федерации Наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового.
Статья 276. Шпионаж Передача, а равно собирание, похищение или хранение в целях передачи иностранному государству, иностранной организации или их представителям сведений, составляющих государственную тайну, а также передача или собирание по заданию иностранной разведки иных сведений для использования их в ущерб внешней безопасности Российской Федерации, если эти деяния совершены иностранным гражданином или лицом без гражданства Наказываются лишением свободы на срок от десяти до двадцати лет
Статья 283. Разглашение государственной тайны 1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены; Наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
то же деяние, повлекшее по неосторожности тяжкие последствия наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет
Статья 284. Утрата документов, содержащих государственную тайну Нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют го- Наказывается ограничением свободы на срок до трех лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением
сударственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий
права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового
Из анализа таблицы видно, что преступлением могут признаваться деяния, связанные с нарушением порядка использования сведений, составляющих государственную тайну. В органах внутренних дел такие факты могут иметь место лишь при нарушении режима секретности. И по каждому факту таких проступков проводится служебная проверка.
Нарушением режима секретности в органах внутренних дел считается разглашение сведений, составляющих государственную тайну, т. е. предание огласке сотрудником, которому эти сведения были доверены по службе, в результате чего они стали достоянием посторонних лиц; либо утрата носителей сведений, составляющих государственную тайну, то есть выход (в том числе и временный) носителей сведений из владения сотрудника, которому они были доверены по службе, в результате чего стали либо могли стать достоянием посторонних лиц.
В случае выявления данных фактов руководитель отдела внутренних дел обязан проинформировать вышестоящее руководство, орган безопасности (подразделение ФСБ) и организовать проведение служебной проверки и розыск носителей сведений, составляющих государственную тайну, а также принять все меры по локализации возможного ущерба. Для проведения служебной проверки руководитель должен создать комиссию, которая в течение месяца должна:
1) установить обстоятельства разглашения сведений, составляющих государственную тайну, либо утраты носителей, содержащих такие сведения;
2) осуществить розыск утраченных носителей;
3) установить лиц, виновных в разглашении данных сведений либо утрате носителей;
4) установить причины и условия, способствовавшие разглашению сведений, составляющих государственную тайну, утечке носителей, содержащих такие сведения, и выработать рекомендации по их устранению.
По результатам работы данной комиссии оформляется заключение служебной проверки с принятием конкретных мер к лицам, виновным в нарушении режима секретности.
Как свидетельствует практический опыт, случаи совершения оперативными сотрудниками преступлений, связанных с разглашением государственной тайны, крайне редки. Чаще всего встречаются случаи дисциплинарных проступков, совершаемых сотрудниками при халатном и ненадлежащем исполнении своих должностных обязанностей по соблюдению требований режима секретности.
Таким образом, анализируя правовую базу, призванную обеспечить юридическую защиту охраняемых законом интересов государства, общества, юридических и физических лиц в области информационных отношений, можно сделать вывод о том, что в органах внутренних дел она крайне слабая. В ее смысловом изложении отсутствует предметный подход к острой и серьезной проблеме защиты государственной и служебной тайн, хотя и имеются требования к обязательному соблюдению режимных мер информационной защиты, однако в практическом плане, особенно в районных подразделениях, контроль за исполнением обязывающих предписаний ведомственных нормативных актов МВД России, территориальных органов внутренних дел практически отсутствует, работа по технической защищенности объектов информационной защиты ведется формально без учета конкретных характеристик объекта, материальное обеспечение техническими средствами защиты
информации не удовлетворяет потребностям и условиям деятельности оперативных подразделений БЭП. 95% всех нарушений, связанных с несоблюдением нормативных актов по обеспечению информационной защиты в органах внутренних дел, выявляются при проведении проверок вышестоящими органами.
Изложенное позволяет сделать вывод о необходимости совершенствования правового обеспечения защиты информации в деятельности как органов внутренних дел в целом, так и их подразделений экономической безопасности в частности.
