CC BY
127
Черкасов А. С.
АКТУАЛЬНЫЕ ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СФЕРЫ ЭКОНОМИКИ РФ
9.2. АКТУАЛЬНЫЕ ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СФЕРЫ ЭКОНОМИКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Черкасов Артем Сергеевич, аспирант кафедры организации судебной власти и правоохранительной деятельности
Место учебы: Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Воронежский государственный университет»
art4erk@gmail.com
Аннотация: В статье проведен анализ нормативной правовой базы, регламентирующий деятельность правоохранительных органов по обеспечению информационной безопасности сферы экономики Российской Федерации. Выделены наиболее актуальные проблемы правового регулирования и предложены пути их решения, которые позволят повысить эффективность работы правоохранительных органов в указанной сфере
Ключевые слова: информационная безопасность сферы экономики; правовое регулирование сферы экономики Российской Федерации; критически важные объекты; персональные данные
ACTUAL PROBLEMS OF LEGAL REGULATION OF INFORMATION SECURITY IN THE SPHERE OF ECONOMY OF THE RUSSIAN FEDERATION
Cherkasov Artem S., the graduated student of Juridical Branch and Law Enforcement Department
Study place: Voronezh state university
art4erk@gmail.com
Annotation: The legal framework regulating law enforcement activity in information security spheres of the Russian economy is analyzed in this article. The most burning problems of legal regulation are highlighted and the ways that will improve the effectiveness of law enforcement in this area are suggested in the article
Keywords: economic sphere information security, the legal regulation of the economic sphere in the Russian Federation, essential objects, personal data
В настоящее время современные информационные технологии стали одним из решающих факторов развития экономики отдельных регионов РФ и страны в целом, вместе с тем резкое увеличение объемов информации накапливаемой, хранимой и обрабатываемой с помощью средств автоматизации привело к появлению новых угроз. По словам Президента Российской Федерации В.В. Путина «обеспечение информационной безопасности в настоящее время является одним из приоритетных направлений обеспечения национальной безопасности, имеющее исключительное значение для устойчивого развития экономики» [9]. Исходя из этого обеспечение информационной безопасности сферы экономики РФ
должно являться одним из приоритетных участков деятельности правоохранительных органов.
Правовую основу обеспечения информационной безопасности сферы экономики составляют: Конституция Российской Федерации, нормы международного права, международные договоры Российской Федерации, федеральные конституционные законы, федеральные законы, нормативные правовые акты Президента Российской Федерации (в том числе документы Совета Безопасности Российской Федерации) и Правительства Российской Федерации, а также принимаемые в соответствии с ними нормативные правовые акты других федеральных органов государственной власти - регуляторов правоотношений в сфере информационной безопасности. В данной статье автор рассматривает актуальные проблемы только национального законодательства, исключая из исследования международно-правовые нормы.
Анализ законодательства позволил выделить проблемы правового регулирования деятельности правоохранительных органов по обеспечению информационной безопасности сферы экономики по следующим направлениям.
1. Осуществление лицензионного контроля предприятий, имеющих шифровальные средства, информационные и телекоммуникационные системы, защищенные с использованием шифровальных средств, не обрабатывающих сведения, составляющие государственную тайну. К таким предприятиям, в частности, относятся предприятия кредитно-банковского сектора, предоставляющие услуги по выдаче электронных цифровых подписей и использующие криптографические методы при обеспечении информационной безопасности систем. Анализ нормативных правовых актов в данной сфере показал наличие ряда пробелов в действующем законодательстве. Деятельность правоохранительных органов (в данном случае ФСБ России) по проведению лицензионного контроля, в частности внеплановых проверок, регламентируется ст. 19 Федерального закона от 04 мая 2011 года «О лицензировании отдельных видов деятельности», ст. 10 Федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», а также п. 13 Постановления Правительства РФ от 16 апреля 2012 № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств...... В указанных положениях изложен перечень оснований проведения внеплановых проверок: истечение срока исполнения лицензиатом предписания об устранении нарушений; поступление в лицензирующий орган обращений, заявлений граждан, в том числе индивидуальных предпринимателей, юридических лиц, информации от органов государственной власти и местного самоуправления, СМИ о фактах грубых нарушений закона; наличии ходатайства лицензиата о проведении проверки; наличие приказа, изданного лицензирующим органом в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации. Как видно из данного перечня, правоохранительные органы в случае получения информации о грубых нарушениях законодательства, повлекших возникновение угроз безопасности,
Бизнес в законе
5'2015
не имеют юридического основания на проведение внеплановой проверки с целью документирования правонарушений и своевременной локализации угроз информационной безопасности. В связи с этим автор считает целесообразным дополнить перечень оснований проведения внеплановых проверок, предусмотренных п.10 ст. 19 Федерального закона от 04 мая 2011 года «О лицензировании отдельных видов деятельности» и п.2 ст. 10 Федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» основанием в виде «поступление в лицензирующий орган информации, полученной в результате проведения оперативно-розыскных мероприятий».
2. Обеспечение безопасности критически важных объектов, критической информационной инфраструктуры, автоматизированных систем управления технологическим процессом (далее - АСУ ТП).
В соответствии с Указом Президента Российской Федерации: «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ» [4] основными регуляторами в указанной сфере являются ФСТЭК России и ФСБ России, на которых возлагаются обязанности по созданию и обеспечению функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее - ГосСОПКА). Анализ действующего законодательства позволил выявить ряд проблем правового характера в данной сфере. В первую очередь, это несогласованность терминологии в том числе у регуляторов -например, различаются определения критически важного объекта. Так в документах Совета Безопасности Российской Федерации дается следующее определение «критически важный объект инфраструктуры Российской Федерации (далее - критически важный объект) - объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно- территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок» [5]; в документах ФСТЭК России критически важный объект - объект, оказывающий существенное влияние на национальную безопасность Российской Федерации, прекращение или нарушение функционирования которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени [6].
Также в указанных выше правовых актах [5,6], а также проекте соответствующего федерального закона [7] наблюдаются различные подходы к понятию автоматизированных систем управления технологическим процессом. Указанные коллизии влекут неоднозначное толкование существующих норм и некорректное применение ведомственных приказов. С целью решения указанных проблем, по мнению автора, необходимо разработать универсальные определения основных понятий в сфере обеспечения безопасности критически важных объектов, с указанием конкретной области их применения, исклю-
чающих двойное толкование, для чего прописать их федеральном законе, имеющим более высокую юридическую силу по сравнению с ведомственными приказами, которые необходимо будет привести в соответствие с ним. В частности, по мнению автора, указанный подход возможно реализовать в процессе принятия проекта федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Учитывая, что кроме объектов топливно-энергетического комплекса [1], профильное законодательство в сфере обеспечения безопасности критически важных объектов в других отраслях отсутствует, принятие вышеназванного закона с соответствующими нормами может решить также и данную проблему.
Кроме того, с целью снижения риска негативного информационного воздействия в отношении стратегических предприятий [3, ст. 6], соискатель считает целесообразным предусмотреть организацию подключение информационных систем и информационно-телекоммуникационных сетей данных предприятий к информационно-телекоммуникационной сети «Интернет» через российский государственный сегмент сети «Интернет». Для этого внести необходимые изменения в Указ Президента Российской Федерации от 22.05.2015 № 260 «О некоторых вопросах информационной безопасности Российской Федерации».
3. Локализация в уголовно-процессуальном порядке угроз безопасности, обусловленных использованием на предприятиях специальных технических средств, предназначенных для негласного получения информации.
Как показала практика работы правоохранительных органов, указанная деятельность создает угрозу информационной безопасности, эффективная нейтрализация которой, требует применения уголовно-правовых мер. Данные противоправные деяния, как правило, подпадают под признаки составов преступлений, предусмотренных ст. 138, 138.1 УК РФ. При этом, в соответствии со ст. 151 УПК РФ, указанные составы относятся к прямой подследственности Следственного комитета Российской Федерации и отсутствуют в альтернативной подследственности, что не позволяет привлекать следственные подразделения иных правоохранительных органов для противодействия возникающим угрозам и существенно снижает эффективность работы в данном направлении. Для решения указанной проблемы автор считает необходимым включения ст. ст. 138, 138.1 УК РФ в перечень статьей альтернативной подследственности, предусмотренный п. 5 ст. 151 Уголовно-процессуального кодекса Российской Федерации, для возможности участия следственных подразделений различных правоохранительных органов в их расследовании.
4. Локализация в уголовно-процессуальном порядке угроз безопасности, обусловленных злоупотреблениями на организованных торгах в форме неправомерного использования инсайдерской информации и (или) манипулирования рынком.
Указанные противоправные деяния создают угрозу стабильности функционирования всей экономической системы государства [12], при этом, как правило, они подпадают под признаки составов преступлений, предусмотренных ст.ст. 185-185.6 УК РФ. В соответствии со ст. 151 УПК РФ, указанные составы относятся к прямой подследственности Следственного комитета Российской Федерации и отсутствуют в альтернативной подследственности, что так же не позволяет привлекать следственные подразделения иных правоохранительных органов для противодействия возникающим угрозам. Для
Черкасов А. С.
АКТУАЛЬНЫЕ ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СФЕРЫ ЭКОНОМИКИ РФ
решения указанной проблемы автор считает необходимым включения ст. ст. 185 - 185.6 УК РФ в перечень статьей альтернативной подследственности, предусмотренный п. 5 ст. 151 Уголовно-процессуального кодекса Российской Федерации, для возможности участия следственных подразделений различных правоохранительных органов в их расследовании.
5. Обеспечения информационной безопасности информационных систем персональных данных (далее -ИСПДн).
Правовой основой служат Федеральные законы: от 27 июля 2006 г. № 152-ФЗ «О персональных данных», от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», а также постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных». В соответствии с ними обязанности по разработке и принятию технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации возлагаются на ФСБ России. Данные меры закреплены соответствующим приказом ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания.».
Анализ нормативной базы защиты ИСПДн показал, что требования Федерального закона «О персональных данных» [2] в части разработки и принятия нормативных правовых актов, определяющих отраслевые модели угроз безопасности персональных данных [8], были выполнены не в полном объеме, что создает предпосылки к снижению уровня защищенности персональных данных в отдельных отраслях. Кроме того, анализ правоприменительной практики органов безопасности показал, что статьи 13.11, 13.12 КоАП РФ не в полной мере отвечают современным реалиям и не всегда позволяют адекватно реагировать на нарушения в области защиты информации при обработке ПД. В связи с изложенным соискатель предлагает внести изменения в КоАП РФ, где предусмотреть ужесточение ответственности за невыполнение требований по защите информации в ИСПДн. Учитывая, что в соответствии с п.1 ст. 19 ФЗ № 152-ФЗ исполнение указанных требований является обязанностью оператора персональных данных, представляется целесообразным в статью 13.11 КоАП РФ добавить пункт следующего содержания: «невыполнение оператором персональных данных обязанностей, предусмотренных законодательством Российской Федерации в области защиты персональных данных».
Подводя итог, следует заметить, что в современном мире высокая динамика развития информационных технологий, служащих двигателем экономического роста регионов Российской Федерации и страны в целом, существенно опережает развитие нормативной правовой базы, регулирующей обеспечение их безопасности. Указанные обстоятельства обуславливают необходимость ее постоянного мониторинга со стороны уполномоченных органов, с целью выявления возникающих пробелов и их оперативного устранения.
Список литературы:
1. Федеральный закон от 21.07.2011 № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» // Собрание законодательства
Российской Федерации. 2011. № 30, ст. 4604.
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» // Собрание законодательства Российской Федерации. 2006. № 31, ст. 3451.
3. Федеральный закон от 29.04.2008 № 57-ФЗ «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства» // Собрание законодательства Российской Федерации. 2008. № 18, ст. 1940.
4. Указ Президента Российской Федерации от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» // Собрание законодательства Российской Федерации. 2013 № 3, ст. 178.
5. «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации». Утверждены Президентом Российской Федерации 03.02.2012 № 803 [Электронный ресурс]: URL: http://scrf.gov.ru/documents /6/113.html (Дата обращения 28.06.2014).
6. Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований по обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» // Российская газета -2014. - 06 августа.
7. Проект Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» [Электронный ресурс]: URL:http://regulation.gov.ru /project/5890.html ?point=view_project &stage=2&stage_id=2938? (Дата обращения 15.06.2014).
8. Стандарт Банка России СТО БР ИББС-1.0-2010, Стандарты ОАО Газпром СТО Газпром 4.2.-0-004-2009 «Система обеспечения информационной безопасности ОАО «Газпром», Р Газпром 4.2-0-003, СТО Газпром 4.2-2-002.
9. О противодействии угрозам национальной безопасности в информационной сфере. Вступительное слово Президента Российской Федерации В.В. Путина на заседании Совета Безопасности Российской Федерации 01.10.2014 [Электронный ресурс]: URL: http//scrf.gov.ru /conferences/60.html.
10. Даянов И.С., (2014), К вопросу о правовом регулировании оперативно-розыскного мероприятия «обследование зданий, сооружений, участков местности и транспортных средств» проводимого оперативно-техническими подразделениями. Пробелы в российском законодательстве, 6: 209-212.
11. Курбанова А.С., (2013), Правовое обеспечение управления в информационной сфере. Пробелы в российском законодательстве, 6: 18-22.
12. Мнацаканян А.В., (2014), Классификация преступлений против информационной безопасности Российской Федерации с точки зрения текущей общественно-политической ситуации. Бизнес в законе, 2: 270-273.
РЕЦЕНЗИЯ
Тема статьи, затрагивающая проблемы правового характера в сфере обеспечения информационной безопасности экономики страны представляется значимой и актуальной, так как в современных условиях именно информационные технологии являются локомотивом экономического роста, в связи с чем обеспечение информационной безопасности имеет исключительное значение для устойчивого развития экономики страны.
В статье автором проведен анализ национального законодательства, регулирующего правоотношения, связанные с обеспечением информационной безопасности объектов экономики. На основе анализа выделены основные проблемные направления, касающиеся правового регулирования проведения органами безопасности лицензионного контроля, обеспечения безопасности критически важных объектов, информационных систем персональных данных, противодействия незаконному использованию на предприятиях специальных технических средств.
Практическая значимость статьи заключается в конкретных предложениях по внесению изменений в нормативные правовые акты, которые позволят повысить эффективность работы правоохранительных органов по обеспечению информационной безопасности сферы экономики.
В целом работа подготовлена на должном научно-теоретическом и методологическом уровне, с использованием соответствующих научных источников. Сведения, изложенные в статье, не относятся к информации ограниченного доступа. Статья рекомендуется для публикации в научном периодическом издании, рекомендованном ВАК.
Научный руководитель
доктор юридических наук, профессор
Л.В. Воронцова
