Атагимова
Эльмира
Исамудиновна
кандидат юридических наук
*
Рамазанова Ирина Маиловна
кандидат педагогических наук, доцент
Некоторые аспекты законодательного уровня обеспечения информационной безопасности в Российской Федерации
Аннотация: в статье рассматриваются некоторые аспекты законодательного регулирования в сфере информационной безопасности России. Освящены наиболее значимые нормативные правовые акты в рассматриваемой области.
Ключевые слова: законодательство, закон, информация, безопасность, информатизация, персональные данные, интернет, защита, технологии.
В 21 веке развитие человечества сопровождается ростом объема накопленных знаний и сведений. Мы являемся свидетелями существенного повышения роли и места информации в жизни личности, общества, государства. За минувшее десятилетие произошел информационный взрыв. Информация сегодня превратилась в мощный реально ощутимый ресурс, имеющий даже большую ценность, чем природные финансовые, трудовые и иные ресурсы. Информация стала товаром, который продается и покупается.
Информационно-коммуникационные технологии, с каждым днем все больше проникая в различные сферы жизни общества, стали важнейшим фактором, влияющим на его развитие, а информатизация всех сфер человеческой деятельности выступает сегодня как важнейшая задача социального развития общества. С учетом бурного развития информационно-коммуникационных технологий углубляется зависимость человека и общества в целом от компьютерных и информационных систем, постоянно увеличивается число пользователей.
Информатизация открыла возможности для реализации одного из прав человека - право на доступ к широкому спектру информации, касающейся деятельности общества (при ограничениях доступа только к особым категориям информации, регламентированных соответствующими правовыми актами). Но нельзя не отметить, что информационные технологии, создавая условия для реализации права гражданина на доступ к информации, одновременно формируют среду, облегчающую нарушение другого его права - право на личную жизнь. Такая проблема, как проблема защиты информации от постороннего доступа и нежелательного воздействия, приобретает сегодня большое значение, так как это касается каждого человека. Фиксация персональных данных стала более доступной для всех заинтересованных в них государственных и негосударственных организаций, что открывает возможность вмешательства в личную жизнь граждан. При использовании технических средств связи информация подвергается воздействию случайных процессов (неисправностям и сбоям оборудования, ошибкам операторов и т. д.), которые могут привести к ее разрушению, изменению на ложную, а также создать предпосылки для доступа к ней посторонних лиц. Этому способствует
У увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью средств вычислительной техники, У создание единых баз данных различного назначения и расширение круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней массивам данных, У автоматизация межмашинного обмена информацией, в т. ч. и на больших расстояниях. Человечество развивается по пути удобства. Создается огромное количество социальных сетей. Облачные технологии позволяют сохранять терабайты информации. Все это приводит к увеличению числа пользователей современного Интернета (свыше 2 миллиардов человек). В России, по разным оценкам, пользуются Интернетом около 60 млн. человек, а к концу 2014 года ожидается, что численность Интернет-пользователей составит около 80 млн. человек [1, с. 7]. Это способствует неуклонному росту числа компьютерных преступлений, также увеличиваются масштабы компьютерных злоупотреблений.
Таким образом, законодательное регулирование защиты информации, а также создание механизма, позволяющего согласовать сам процесс разработки законов с реалиями и прогрессом информационных технологий, давно является объективной необходимостью.
Анализируя законодательство Российской Федерации в области информационной безопасности, стоит отметить, что государственное звучание понятие «информационная безопасность» приобрело в 1989 г., когда по решению Президиума Верховного Совета СССР была создана рабочая комиссия по совершенствованию системы национальной безопасности [2, с. 208]. Большую роль в разработке проблематики информационной безопасности сыграл В. Н. Лопатин, который в 1989-1990 г. возглавляет рабочую группу, отвечающую за вопросы информационной безопасности в составе Комиссии по совершенствованию системы национальной безопасности. По предложениям группы, для более четкого определения предметной области законодательства в сфере обеспечения информационной безопасности предлагалось выделить 3 подгруппы объектов защиты [2, с. 207].
К ним относились: 1. защита информации и прав на нее (включая право на доступ к информации, право на тайну, права на объекты интеллектуальной собственности);
2. защита человека и общества от воздействия «вредной» информации;
3. защита информационных систем и прав на них (в том числе прав и интересов государства по сохранению единого информационного пространства в стране) [3, с. 480].
По предложениям этой комиссии был подготовлен и принят в 1992 г. Закон Российской Федерации «О безопасности» от 5 марта 1992 г. № 24446-1 [4]. Закон закрепил правовые основы обеспечения безопасности личности, общества и государства, определил систему безопасности и ее функции, установил порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.
В Законе закреплено определение безопасности как «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз», а под жизненно важными интересами понимается совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства. Названы основные объекты безопасности: это личность - ее права и свободы; общество его материальные и духовные ценности; государство - его конституционный строй, суверенитет и территориальная целостность [4]. Данный Закон действовал до 29 декабря 2010 г. с последующими дополнениями и изменениями. Он был отменен Федеральным законом «О безопасности» от 28.12.2010 г. № 390-Ф3.
С дальнейшим развитием процессов информатизации научное развитие проблемы информационной безопасности продолжает углубляться. Система взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности представлена в разработанной Концепции по национальной безопасности [5]. Основные направления обеспечения информационной безопасности Российской Федерации представлены в Доктрине информационной безопасности Российской Федерации [6], которая послужила основой для:
У формирования государственной политики в области обеспечения информационной безопасности Российской Федерации, У подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской
Федерации и разработки целевых программ обеспечения информационной безопасности Российской Федерации. Далее основные направления обеспечения национальной безопасности Российской Федерации до 2020 года были освещены в Указе Президента Российской Федерации «О стратегии национальной безопасности Российской Федерации до 2020 года» от 12.05.2009 № 537. Данная стратегия является базовым документом по планированию развития системы обеспечения национальной безопасности Российской Федерации, в которой излагаются порядок действий и меры по обеспечению национальной безопасности. Она является основой для конструктивного взаимодействия органов государственной власти, организаций и общественных объединений для защиты национальных интересов Российской Федерации и обеспечения безопасности личности, общества и государства [7].
Переходя к рассмотрению непосредственно понятия «информационная безопасность», необходимо отметить сложность данного явления, что обусловливает многообразие подходов к формулировке понятия «информационная безопасность» [8].
В определении понятия «информационная безопасность», предложенным профессором В. Н. Лопатиным, говорится, что под информационной безопасностью следует понимать состояние защищенности национальных интересов страны (жизненно важных интересов личности, общества и государства на сбалансированной основе) в информационной сфере от внутренних и внешних угроз [9, с. 79].
В Федеральном Законе от 04.07.96 № 85-ФЗ «Об участии в Международном информационном обмене» информационная безопасность определялась как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства [10].
В своем докладе от 10 июля 2010 года № А/55/140 Генеральный секретарь ООН отметил, что информационная безопасность - это состояние защищенности основных интересов личности, общества и государства в информационном пространстве, включая информационно-телекоммуникационную инфраструктуру и собственно информацию в отношении таких ее свойств как целостность, объективность, доступность и конфиденциальность [11]. Несмотря на то, что в данном определении находят свое отражение два аспекта информационной безопасно-
сти, в связи с тем, что эти аспекты не выделены четко, применение этого определения «информационной безопасности» может привести к некоторым трудностям [12].
В объединенной доктрине США «Информационные операции», определение информационной безопасности отражает только один аспект обеспечения информационной безопасности, а именно второй, связанный со средствами обработки информации. В соответствии с этим определением, информационная безопасность представляет собой защиту и оборону информации и информационных систем от несанкционированного доступа или модификации информации, находящейся в процессе хранения, обработки или передачи, а также от прекращения функционирования системы для санкционированных пользователей. Информационная безопасность включает меры, необходимые для обнаружения, документирования и ответа на эти угрозы [13].
Согласимся с мнением В. Н. Лопатина, что сформулированное им определение понятия информационная безопасность более соответствует логике Закона «О безопасности» и содержанию Концепции национальной безопасности [14].
Интересы государства в плане обеспечения конфиденциальности информации отражены в Законе «О государственной тайне» от 21.07.1993 № 5485-1 [15], который регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. В нем государственная тайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Закон определяет исчерпывающий перечень сведений, отнесенных к государственной тайне. Перечень подразделяется на 4 группы:
1. сведения в военной области;
2. сведения в области экономики, науки и техники;
3. сведения в области внешней политики и экономики;
4. сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении ко-
торых принято решение о применении мер государственной защиты.
Закон также закрепляет принципы отнесения сведений к государственной тайне, определяет порядок засекречивания относящихся к государственной тайне сведений и их рассекречивания, порядок распоряжения сведениями, составляющими государственную тайну, указывает органы защиты государственной тайны.
Одним из важнейших законодательных актов, положившим начало формированию общей системы нормативно-правовых актов, регулирующих процессы информатизации общества, явился Федеральный закон «Об информации, информатизации и защите информации» 1995 г. [16]. В Законе были определены такие понятия как «информация» - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления; Закон ввел впервые в правовую лексику такое понятие как «информатизация» - это организационный, социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов, закрепил определение терминов «документированная информация» (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее ид+ентифицировать, и «конфиденциальная информация» - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
В целом закон 1995 г. создал основу для упорядочения отношений в информационной сфере, а также послужил основой для последующего развития информационного законодательства. Этот закон действовал на протяжении более десяти лет и был заменен в 2006 г. Федеральным законом «Об информации, информационных технологиях и защите информации» [17]. На сегодняшний день Закон 2006 г. является одним из основополагающих российских законов, посвященных вопросам информационной безопасности. Настоящий закон регулирует отношения, возникающие при:
> осуществлении права на поиск, получение, передачу, производство и распространение информации;
> применении информационных технологий;
> обеспечении защиты информации.
Статья 16 Закона «Об информации, информационных технологиях и защите информации» полностью посвящена защите информации (процитируем ее полностью):
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обе-
спечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
В процитированной статье фигурируют все три основных аспекта информационной безопасности: доступность, целостность и конфиденциальность. Кроме того, обязательным является отслеживание нарушений безопасности и постоянный контроль за обеспечением уровня защищенности информации.
Принятие Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» направлено на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации, а также на воплощение в жизнь международных обязательств Российской Федерации, взятых на себя при ратификации Конвенции Совета Европы о защите личности при обращении с персональными данными от 28 января 1981 года [18]. В этой связи не случайно, что в качестве основополагающих принципов обработки персональных данных законодатель декларирует соответствие способа обработки и объема обрабатываемых данных законным целям, определенным оператором до начала обработки, а также недопустимость объединения баз данных информационных систем персональных данных, созданных для несовместимых между собой целей.
Большое практическое и теоретическое значение имеет определение в комментируемом Законе понятия «персональные данные», под которыми понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). К таким данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. Кроме того, законодателем установлены некоторые особые виды персональных данных, в отношении которых действуют повышенные меры защиты от несанк-
ционированной обработки и распространения. Это информация касается расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни физического лица, а также биометрические персональные данные - сведения, характеризующие физиологические особенности человека (ст. 10 и 11 Закона).
Данный закон устанавливает порядок доступа к персональным данным граждан (физических лиц) и призван обеспечить эффективную защиту прав и свобод человека и гражданина в соответствии с основными правами и свободами, провозглашенными Конституцией РФ.
Согласно ст. 17 Конституции РФ, в России признаются и гарантируются права и свободы человека и гражданина согласно общепризнанным принципам и нормам международного права. Ст. 23 и 24 Конституции РФ устанавливают, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. При этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. На органы государственной власти и органы местного самоуправления, их должностных лиц возлагается обязанность обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
В современном мире почти каждый желающий может найти в Интернете информацию о персональных данных граждан. При этом свои персональные данные граждане раскрывают зачастую сами, например, оформляя покупку товара с доставкой на дом, регистрируясь на вебсайте. Но далеко не всегда лица, получающие такую информацию, добросовестно сохраняют ее. Во всем мире стремятся защищать персональные данные на уровне государства, принимая законы, регулирующие порядок сбора, хранения и использования сведений о гражданах страны. Обеспечивая защиту персональных данных, РФ укрепляет правовую защищенность и безопасность личности и создает благоприятную обстановку для всестороннего развития граждан и общества в целом. Кроме того, по мнению многих российских экспертов в области права, одной из целей принятия комментируемого
Закона явилась необходимость устранения некоторых барьеров в торговле со странами Евросоюза, т. к. согласно Директиве Евросоюза персональные данные могут передаваться только в страны, обеспечивающие такой же уровень защиты, как и в Европе. Поэтому положения комментируемого Закона отчасти повторяют положения европейского законодательства в данной сфере [19].
Литература
1. Доменные имена. - М.: Российская государственная академия интеллектуальной собственности, 2013.
2. Сергиенко Л.А. История формирования информационного права в СССР и Российской Федерации 1960-2000 гг. Монография. - М.: ЮРКОМПАНИ, 2013.
3. Концепция развития законодательства в сфере обеспечения информационной безопасности. Изд. Государственной Думы РФ. М., 1998. С. 158. Цитир. по учебнику: И. Л. Бачило, В. Н. Лопатин, М. А. Федетов «Информационное право». Изд. СПб. Юрид. Цент пресс, 2001.
4. Закон РФ от 05.03.1992 № 2446-1 (ред. от 26.06.2008) «О безопасности». (Документ утратил силу в связи с принятием Федерального закона «О безопасности» от 28.12.2010 № 390-Ф3).
5. Указ Президента РФ от 17.12.1997 № 1300 (ред. от 10.01.2000) «Об утверждении Концепции национальной безопасности Российской Федерации» (Документ утратил силу с 12 мая 2009 года в связи с изданием Указа Президента РФ «О стратегии национальной безопасности Российской Федерации до 2020 года» от 12.05.2009 № 537).
6. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. № Пр-1895).
7. Указ Президента Российской Федерации «О стратегии национальной безопасности
Российской Федерации до 2020 года» от 12.05.2009 № 537.
8. Днепровский А. Г. Правовые проблемы нового международного информационного порядка. - М. : Наука, 1989.
9. Лопатин В. Н. «Информационная безопасность России : Человек. Общество. Государство». - СПб. : Фонд «Университет», 2000.
10. Федеральный закон от 04.07.1996 № 85-ФЗ (ред. от 29.06.2004) «Об участии в международном информационном обмене». (Документ утратил силу в связи с принятием Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ).
11. Документ ООН A/55/140. C. 4.
12. Ермишина Е. В. Международный обмен информацией : правовые аспекты. - М. : Меж-дунар. отношения, 1988.
13. Joint Doctrine for Information operations. Jom Pub 3-13. 9 October 1998. P. GL-7.
14. Лопатин В. Н. Реальность - основа концепции информационной безопасности России // PC Week/RE. 1999, № 12.
15. Закон РФ от 21.07.1993 № 5485-1 (ред. от
21.12.2013) «О государственной тайне».
16. Федеральный закон от 20.02.1995 № 24-ФЗ (ред. от 10.01.2003) «Об информации, информатизации и защите информации». (Документ утратил силу в связи с принятием Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ).
17. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 28.12.2013) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с
01.02.2014).
18. Комментарий к Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
19. [Электронный ресурс]. - Режим доступа: http://docs.cntd.ru/ , свободный (загрузка).