ПРОБЛЕМЫ И УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.
(Доктрина информационной безопасности Российской Федерации)
2.1. Основные проблемы информационной безопасности и пути их решения
Нынешнее состояние информационной безопасности России – это состояние нового, только оформляющегося с учетом веления времени государственно-общественного института. Многое на пути его становления уже сделано, но еще больше здесь проблем, требующих самого оперативного решения. За последние годы в РФ реализован ряд мер по совершенствованию информационной безопасности. Назовем самые важные из них.
Во-первых, начато формирование базы правового обеспечения информационной безопасности. Принят ряд законов, регламентирующих общественные отношения в этой сфере, развернута работа по созданию механизмов их реализации. Этапным результатом и нормативно-правовой основой дальнейшего решения проблем в этой сфере стало утверждение Президентом РФ в сентябре 2001 г. Доктрины информационной безопасности Российской Федерации (далее – Доктрина). Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности России. В Доктрине рассматриваются:
объекты, угрозы и источники угроз информационной безопасности;
возможные последствия угроз информационной безопасности;
методы и средства предотвращения и нейтрализации угроз информационной безопасности;
особенности обеспечения информационной безопасности в различных сферах жизнедеятельности общества и государства;
основные положения государственной политики по обеспечению информационной безопасности в РФ.
На основе Доктрины осуществляются:
формирование государственной политики в области обеспечения информационной безопасности;
подготовка предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности;
разработка целевых программ обеспечения информационной безопасности.
Во-вторых, к настоящему времени проведены первоочередные мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от форм собственности. Развернута работа по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.
В-третьих, обеспечению информационной безопасности способствуют созданные:
государственная система защиты информации;
система лицензирования деятельности в области защиты государственной тайны;
система сертификации средств защиты информации.
Вместе с тем анализ состояния информационной безопасности показывает, что ее уровень не в полной мере соответствует требованиям времени. Все еще существует ряд проблем, серьезно препятствующих полноценному обеспечению информационной безопасности человека, общества и государства. Доктрина называет следующие основные проблемы данной сферы.
1. Современные условия политического и социально-экономического развития страны все еще сохраняют острые противоречия между потребностями общества в расширении свободного обмена информацией и необходимостью действия отдельных регламентированных ограничений на ее распространение.
2. Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в этой области. Несовершенное нормативное правовое регулирование не позволяет завершить формирование на территории РФ конкурентоспособных российских информационных агентств и средств массовой информации.
3. Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе.
4. Закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами власти субъектов РФ, органами местного самоуправления данных о физических лицах (персональных данных).
5. Нет четкости при проведении государственной политики в области формирования российского информационного пространства, а также организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка, ведет к деформации структуры международного обмена.
6. Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок.
7. Не улучшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.
8. Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.
9. Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы власти субъектов РФ и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм. Из-за этого повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.
10. В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных и международных информационных систем возросли угрозы применения информационного оружия против соответствующей инфраструктуры России. Работы по адекватному противодействию этим угрозам ведутся в условиях недостаточной координации и слабого бюджетного финансирования. Не уделяется необходимое внимание развитию средств космической разведки и радиоэлектронной борьбы.
Обеспечение информационной безопасности требует решения целого комплекса задач. Доктрина перечисляет наиболее важные из них:
разработка основных направлений государственной политики в области обеспечения информационной безопасности, а также мероприятий и механизмов, связанных с реализацией этой политики;
развитие и совершенствование системы обеспечения информационной безопасности, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности, а также системы противодействия этим угрозам;
разработка федеральных целевых программ обеспечения информационной безопасности;
разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности, а также их сертификации;
совершенствование нормативно-правовой базы обеспечения информационной безопасности;
установление ответственности должностных лиц федеральных органов власти и местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
координация деятельности органов государственной власти, предприятий, учреждений и организаций независимо от форм собственности в области обеспечения информационной безопасности;
развитие научно-практических основ обеспечения информационной безопасности с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения информационного оружия;
создание механизмов формирования и реализации государственной информационной политики России;
повышение эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
развитие и совершенствование систем защиты информации и государственной тайны;
создание защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
расширение взаимодействия с международными и зарубежными органами и организациями для обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
создание системы подготовки кадров в области информационной безопасности и информационных технологий.
Важнейшая задача в деле обеспечения информационной безопасности России – осуществление комплексного учета интересов личности, общества и государства в данной сфере. Доктрина эти интересы определяет следующим образом:
интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность;
интересы общества в информационной сфере заключаются в обеспечении интересов общества в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России;
интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, реализации конституционных прав и свобод человека (гражданина) в области получения информации. Одновременно требуется использование этой сферы только в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование различных форм общественного контроля над деятельностью федеральных органов государственной власти и органов государственной власти субъектов РФ. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.
Общие методы решения ключевых задач в деле обеспечения информационной безопасности Доктрина объединяет в три группы:
правовые;
организационно-технические; экономические.
К правовым методам относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ (они подробно рассматриваются в гл. 4 настоящего пособия).
Организационно-техническими методами обеспечения информационной безопасности являются:
создание и совершенствование систем обеспечения информационной безопасности;
усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере;
совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности программного обеспечения;
создание систем и средств предотвращения несанкционированного доступа к информации и воздействий, вызывающих разрушение, уничтожение, искажение информации, изменение штатных режимов функционирования систем и средств информатизации и связи;
выявление технических устройств и программ, представляющих опасность для функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации, контроль за выполнением специальных требований по защите информации;
сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
контроль за действиями персонала в информационных системах, подготовка кадров в области обеспечения информационной безопасности;
формирование системы мониторинга показателей и характеристик информационной безопасности в наиболее важных сферах жизни и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности включают в себя:
разработку программ обеспечения информационной безопасности и определение порядка их финансирования;
совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
Согласно Доктрине, государство в процессе реализации своих функций по обеспечению информационной безопасности:
проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности, разрабатывает меры по ее обеспечению;
организует работу органов власти по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности;
поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;
осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
формулирует и реализует государственную информационную политику России;
организует разработку федеральной программы обеспечения информационной безопасности, объединяющей усилия государственных и негосударственных организаций в данной области;
способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.
При решении основных задач и выполнении первоочередных мероприятий государственной политики по обеспечению информационной безопасности в настоящее время доминирует стремление решать главным образом нормативно-правовые и технические проблемы. Чаще всего речь идет о «разработке и внедрении правовых норм», «повышении правовой культуры и компьютерной грамотности граждан», «создании безопасных информационных технологий», «обеспечении технологической независимости» и т. п.
Соответствующим образом планируется и развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности, то есть преобладает подготовка кадров в области средств связи, обработки информации, технических средств ее защиты. В меньшей степени осуществляется подготовка специалистов в области информационно-аналитической деятельности, социальной информации, информационной безопасности личности. К сожалению, многие государственные институты считают наиболее важной техническую сторону проблемы, упуская из виду социально-психологические ее аспекты.
Угрозы информационной безопасности – это использование различных видов информации против того или иного социального (экономического, военного, научно-технического и т. д.) объекта с целью изменения его функциональных возможностей или полного поражения.
С учетом общей направленности Доктрина подразделяет угрозы информационной безопасности на следующие виды:
угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
угрозы информационному обеспечению государственной политики РФ;
угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
Угрозами конституционным правам и свободамчеловека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться:
принятие органами власти правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;
создание монополий на формирование, получение и распространение информации в РФ, в том числе с использованием телекоммуникационных систем;
противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;
чрезмерное ограничение доступа к необходимой информации;
противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;
неисполнение органами государственной власти и местного самоуправления, организациями и гражданами требований законодательства, регулирующего отношения в информационной сфере;
неправомерное ограничение доступа граждан к информационным ресурсам органов государственной власти и местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;
дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;
нарушение конституционных прав и свобод человека и гражданина в области массовой информации;
вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;
девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;
снижение духовного, нравственного и творческого потенциала населения России;
манипулирование информацией (дезинформация, сокрытие или искажение информации).
Угрозами информационному обеспечению государственной политики РФ могут быть:
монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;
блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;
низкая эффективность информационного обеспечения государственной политики РФ вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.
Угрозы развитию отечественной индустрии информации могут составлять:
противодействие доступу к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, создание условий для усиления технологической зависимости России в области информационных технологий;
закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов;
вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;
использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи;
отток за рубеж специалистов и правообладателей интеллектуальной собственности.
Все источники угроз информационной безопасности Доктрина подразделяет на внешние и внутренние.
К внешним источникам угроз Доктрина относит:
деятельность иностранных политических, экономических, военных, разведывательных и информационных структур против интересов РФ;
стремление ряда стран к доминированию на мировом информационном пространстве, вытеснению России с информационных рынков;
деятельность международных террористических организаций;
увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран, нарушение функционирования информационных и телекоммуникационных систем, получение несанкционированного доступа к ним.
К внутренним источникам угроз, согласно Доктрине, относятся: критическое состояние ряда отечественных отраслей промышленности;
неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
недостаточная координация деятельности органов власти всех уровней по реализации единой государственной политики в области информационной безопасности;
недостатки нормативно-правовой базы, регулирующей отношения в информационной сфере и правоприменительной практики;
неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка в России;
недостаточное финансирование мероприятий по обеспечению информационной безопасности;
недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
недостаточная активность федеральных органов власти в информировании общества о своей деятельности, в разъяснении принимаемых решений, формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
отставание России от ведущих стран мира по уровню информатизации органов власти и местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.
2.3. Место информационной безопасности в системе национальной безопасности России
В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей системы национальной безопасности страны.
Доктрина рассматривает всю работу в информационной сфере на основе и в интересах Концепции национальной безопасности РФ.
Доктрина выделяет четыре основные составляющие национальных интересов России в информационной сфере.
Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения и пользования информацией, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Для ее реализации необходимо:
повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа страны;
усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала России;
обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;
обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
гарантировать свободу массовой информации и запрет цензуры;
не допускать пропаганды и агитации, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов в информационной сфере включает в себя информационное обеспечение государственной политики страны, связанное с доведением до российской и международной общественности достоверной информации о ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Для этого требуется:
укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;
интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.
Третья составляющая национальных интересов в информационной сфере включает в себя развитие современных информационных технологий, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка этой продукцией и выход ее на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.
Для достижения результата на этом направлении необходимо:
развивать и совершенствовать инфраструктуру единого информационного пространства России;
развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;
развивать производство в стране конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;
обеспечить государственную поддержку фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.
В этих целях требуется:
повысить безопасность информационных систем (включая сети связи), прежде всего, первичных сетей связи и информационных систем органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;
интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности;
обеспечить защиту сведений, составляющих государственную тайну;
расширять международное сотрудничество России в области безопасного использования информационных ресурсов, противодействия угрозе противоборства в информационной сфере.
2.4. Защита сведений, составляющих государственную и коммерческую тайну, конфиденциальную информацию и интеллектуальную собственность
Важной стороной противостояния угрозам информационной безопасности является надежная защита сведений, содержащих государственную, коммерческую и иную тайну, а также конфиденциальную информацию и информацию, составляющую интеллектуальную собственность.
Правовые основы защиты информации
За последние годы в России сформированы и продолжают формироваться правовые механизмы, способствующие созданию целостной системы ограничения доступа к информации, составляющей тайну или требующей особой защиты. Важными вехами становления правового режима в этой сфере стало принятие ряда законов и иных нормативно-правовых актов. Назовем основные из них (более подробно правовое обеспечение информационной безопасности рассмотрено в гл. 4).
Закон РФ «О безопасности», принятый 5 марта 1992 г. (с изменениями), определяет защиту государственной тайны как вопрос обеспечения безопасности государства и относит ее к задачам федерального уровня, исключая появление региональных тайн и региональных законодательных актов, регламентирующих их защиту.
Закон РФ «О государственной тайне», принятый 21 июля 1993 г., регулирует порядок отнесения сведений к государственной тайне, их рассекречивания и защиты в интересах обеспечения безопасности России.
Федеральный закон «Об основах государственной службы», принятый 31 июля 1995 г., обязывает, в частности, государственных служащих соблюдать установленный порядок работы со служебной информацией, «хранить государственную и иную охраняемую законом тайну, не разглашать ставшие известными в связи с исполнением должностных обязанностей сведения, затрагивающие частную жизнь, честь и достоинство граждан» (ст. 10).
Уголовный кодекс РФ, введенный в действие 1 января 1997 г., содержит статьи «Разглашение государственной тайны» и «Утрата документов, содержащих государственную тайну». Он также относит к разряду преступлений нарушение тайны переписки, телефонных переговоров и т. п. (ст. 138, ч. 1), незаконное разглашение или использование сведений, составляющих коммерческую или банковскую тайну (ст. 183, ч. 2), нарушение авторских прав и права на интеллектуальную собственность (ст. 146, ч. 1 и ст. 147, ч. 2).
Указ Президента РФ № 1203 от 30.11.1995 г. «Об утверждении перечня сведений, отнесенных к государственной тайне» объявляет перечень сведений в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности государства, распространение которых может нанести ущерб безопасности России. В связи с совершенствованием структуры федеральных органов исполнительной власти указанный перечень был изложен в новой редакции на основании Указа Президента РФ № 61 от 24.01.98 г. «О перечне сведений, отнесенных к государственной тайне».
Указом Президента РФ от 8 ноября 1995 г. № 1108 образована Межведомственнаякомиссияпозащитегосударственнойтайны. В свою очередь, положение о данной комиссии было утверждено Указом
Президента РФ от 20 января 1996 г. Основной функцией Межведомственной комиссии определена координация деятельности органов государственной власти по защите государственной тайны.
Одним из первых решений Межведомственной комиссии (от 7 июля 1998 г. № 33) стало утверждение Концепции защиты государственной тайны в Российской Федерации.
Наконец, Конституцией РФ определено, что каждый гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения (ст. 23, п. 2). Конституция устанавливает также, что «интеллектуальная собственность охраняется законом» (ст. 44, п. 1).
Таким образом, состав и содержание законов РФ и указов Президента РФ, наличие соответствующих статей в Уголовном кодексе РФ, а также решений Межведомственной комиссии по защите государственной тайны позволяют говорить о сформированной (в целом) нормативно-правовой базе защиты государственной и иной тайны.
Классификация сведений, подлежащих защите
В настоящее время в различных нормативных документах указывается значительное количество (более 40) видов информации, требующих дополнительной защиты. Для удобства рассмотрения правового режима информационных ресурсов по признаку доступа их можно условно объединить в четыре группы:
государственная тайна;
коммерческая тайна;
сведения конфиденциального характера;
интеллектуальная собственность.
Государственная тайна. Закон РФ «О государственной тайне» дает следующее определение государственной тайны: это защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности, распространение которых может нанести ущерб безопасности России (ст. 2).
В ст. 5 данного Закона определен перечень сведений, отнесенных к государственной тайне:
сведения в военной области – о содержании стратегических и оперативных планов, о планах строительства Вооруженных сил, разработке, технологии, производстве, об объектах производства, о хранении, об утилизации ядерных боеприпасов, о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о дислокации ракетных и особо важных объектов и др.;
сведения в области экономики, науки и техники – о содержании планов подготовки РФ и ее отдельных регионов к возможным военным действиям, об объемах производства, о планах государственного заказа, о выпуске и поставках вооружения, военной техники, о достижениях науки и техники, имеющих важное оборонное или экономическое значение, и др.;
сведения в области внешней политики и экономики – о внешнеполитической и внешнеэкономической деятельности РФ, преждевременное распространение которых может нанести ущерб безопасности государства и др.;
сведения в области разведывательной, контрразведывательной и оперативно-разыскной деятельности. Это, в частности, сведения, характеризующие:
силы и средства названной деятельности, ее источники, планы и результаты;
лиц, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими названную деятельность;
системы президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи;
шифры и информационно-аналитические системы специального назначения, методы и средства защиты секретной информации и др.
Дополнительный перечень сведений, включающий некоторые виды информации из области военной, внешнеэкономической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности, отнесенные к государственной тайне, содержат указы Президента РФ № 1203 от 30.11.1995 г. и № 61 от 24.01.1998 г.
Кроме того, Доктрина информационной безопасности РФ требует защищать «помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа».
Согласно Уголовному кодексу РФ, защита государственной тайны и иной секретной информации возложена на сотрудников режимных служб и правоохранительных органов.
Коммерческая тайна. Коммерческую тайну может составлять любая информация, полезная в бизнесе и дающая преимущество над конкурентами, которые такойинформацией не обладают. Во многих случаях коммерческая тайна является формой интеллектуальной собственности.
Согласно ст. 139 ч. 1 Гражданского кодекса РФ к числу сведений, составляющих коммерческую тайну, относится информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам и к которой нет свободного доступа на законном основании. Она может включать в себя различные идеи, изобретения и другую деловую информацию.
Примерно такое же определение коммерческой тайны дает Американская Ассоциация юристов. В ее формулировке – это информация, которая:
во-первых, имеет самостоятельную экономическую стоимость (используемую или потенциальную) благодаря тому, что не является общеизвестной или доступной людям, желающим использовать ее в коммерческих целях;
во-вторых, является объектом разумных для данной ситуации усилий по ее защите.
Прежде чем предпринимать меры для защиты определенной информации как коммерческой тайны, необходимо ответить на следующие вопросы.
Какие сведения нельзя скрывать?
Какие сведения невыгодно скрывать?
Какие сведения необходимо охранять?
Ответ на первый вопрос дает постановление Правительства РФ от 5.12.1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну». К таким сведениям относятся:
организационные сведения (устав и учредительные документы предприятия, регистрационные удостоверения, лицензии, патенты);
финансовые сведения (документы об исчислении и уплате налогов, других платежей, предусмотренных законом, документы о состоянии платежеспособности);
сведения о штате и условиях деятельности (число и состав работающих, их заработная плата, наличие свободных мест, влияние производства на природную среду, реализация продукции, причиняющей вред здоровью населения, участие должностных лиц в предпринимательской деятельности, нарушение антимонопольного законодательства);
сведения о собственности (размерах имущества, денежных средствах, вложениях платежей в ценные бумаги, облигации, займы, уставные фонды совместных предприятий).
Указанные сведения не являются предметом защиты от ознакомления с ними третьих лиц, но это не исключает их охраны от преступных посягательств. В связи с этим остается вопрос: кому предприниматель обязан предъявлять (по требованию) перечисленные сведения?
Претендовать на ознакомление с такими сведениями в пределах своей компетенции могут:
прокурор в порядке надзора и в других случаях, предоставленных ему законом;
правоохранительные органы по возбужденному уголовному делу;
налоговые службы (управления);
аудиторские фирмы (по просьбе самого владельца);
профсоюзы;
государственные предприятия (учреждения); санитарно-эпидемиологические станции; экологические организации;
организации и частные лица, вступающие в сделку с предпринимателем.
К сведениям, которые невыгодно скрывать, относится, в частности, рекламная информация. Без рекламы в хозяйственной деятельности трудно добиться эффективного результата, особенно в условиях жесткой конкуренции. Вместе с тем рекламная информация может стать достоянием не только законопослушных граждан, но и преступных элементов. Поэтому и в данном случае предприниматель, рекламирующий свою продукцию или деятельность, должен быть готов как к возможным посягательствам, так и к собственным ответным действиям.
Какие сведения необходимо охранять? Для ответа на этот вопрос необходимо определить круг сведений, составляющих коммерческую тайну, а также их возможное распределение по категориям важности в зависимости от их ценности для предприятия, характера и размера ущерба, который может быть нанесен предприятию при разглашении этих сведений. К решению указанной проблемы следует подходить особенно тщательно. Если какие-либо данные, прямые или косвенные, будут упущены, то все принимаемые меры могут оказаться неэффективными. С другой стороны, излишние меры по ограничению доступа к информации осложнят работу и приведут к неоправданным экономическим издержкам.
Для подготовки перечня сведений, относящихся к коммерческой тайне предприятия, целесообразно привлечь специалистов, знакомых как с деятельностью предприятия в целом, так и с работой его отдельных подразделений. Создается группа в составе не более 4–5 человек, в которую желательно включить:
специалиста, владеющего финансовыми вопросами, конъюнктурой рынка и данными в отношении конкурирующих фирм;
специалиста, полностью представляющего систему организации работы предприятия, ее особенности;
специалиста по связям с другими предприятиями, а также по вопросам заключения контрактов, договоров;
специалиста, обладающего сведениями о выпускаемой продукции, технологическом цикле ее производства, о прохождении всех видов информации на предприятии.
Итогом работы такой группы должен стать перечень сведений, составляющих коммерческую тайну предприятия, утвержденный руководителем предприятия. При разработке перечня необходимо учитывать требования указанного выше постановления Правительства РФ от 5.12.1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну».
В перечень сведений, составляющих коммерческую тайну организации, могут входить:
Сведения научного характера:
идеи, изобретения, открытия;
отдельные формулы;
новые технические проекты;
новые методы организации труда и производства; программное обеспечение ЭВМ; результаты научных исследований.
Сведения технологического характера:
конструкторская документация, чертежи, схемы, записи;
описания технологических испытаний;
конструкционные характеристики создаваемых изделий и оптимальные параметры разрабатываемых технологических процессов (размеры, объемы, конфигурация, процентное содержание компонентов, температура, давление, время и т. д.);
сведения о материалах, из которых изготовлены отдельные детали, условиях экспериментов и об оборудовании, на котором они проводились, и т. д.;
используемые предприятием отдельные новые либо уникальные измерительные комплексы и приборы, станки, оборудование.
Сведения делового характера:
сведения о заключенных или планируемых контрактах;
данные о поставщиках и клиентах;
обзоры рынка, маркетинговые исследования;
информация о конфиденциальных переговорах;
калькуляция издержек производства предприятия, структуры цен, уровень прибыли;
планы развития предприятия и инвестиций.
Перечень сведений, отнесенных к коммерческой тайне, определяется спецификой деятельности каждого конкретного предприятия и в каждом случае может быть сугубо специфическим.
Так, крупнейшие в мире производители прохладительных напитков фирмы «Кока-Кола» и «Пепси-Кола» выделяют в качестве главных секретов специальные добавки в концентрат, из которого изготавливаются напитки. Американские машиностроительные и приборостроительные фирмы, рекламируя качественные характеристики своей продукции, держат в глубоком секрете технологические особенности изготовления основных узлов, определяющих такие характеристики.
По мере необходимости этот перечень изменяется и дополняется; по возможности должен указываться конкретный срок, на который те или иные сведения отнесены к коммерческой тайне.
Сведения конфиденциального характера. Конфиденциальность информации-характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Конфиденциальность предполагает сохранение прав на информацию, ее неразглашение (секретность) и неизменность во всех случаях, кроме правомочного использования.
Указом Президента РФ от 6 марта 1997 г. № 188 утвержден перечень сведений конфиденциального характера. В этот перечень вошли:
сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные);
сведения, составляющие тайну следствия и судопроизводства;
служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна);
сведения о профессиональной деятельности (врачебная, нотариальная, адвокатская тайна, тайна переписки и т. д.);
сведения о сущности изобретения или промышленных образцах до официальной публикации информации о них.
Перечень сведений конфиденциального характера дополняют другие нормативно-правовые акты: Основы законодательства РФ «Об охране здоровья граждан», законы РФ «О психиатрической помощи и гарантиях прав граждан при ее оказании», «О нотариате», «Об адвокатуре», «Об основных гарантиях избирательных прав граждан РФ», «О банках и банковской деятельности», а также Налоговый кодекс РФ, Семейный кодекс РФ и др.
В итоге можно выделить несколько групп сведений конфиденциального характера, образующих определенные «тайны»:
врачебная (медицинская) тайна;
банковская тайна;
налоговая тайна;
нотариальная тайна;
тайна страхования;
адвокатская тайна;
тайна отношения к религии и тайна исповеди; тайна голосования; служебная тайна и др.
К информации, определяемой понятием интеллектуальная собственность, можно отнести большую часть перечисленных выше сведений научного и технологического характера, а также произведения литературы и искусства, продукцию изобретательской и рационализаторской деятельности, других видов творчества. В соответствии с Законом РФ «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.1992 г. программы для ЭВМ и базы данных также являются объектами авторского права, нарушение которого влечет гражданскую, уголовную и административную ответственность в соответствии с законодательством РФ.
Под определение интеллектуальной собственности попадает и определенная часть сведений, отнесенных к государственной и коммерческой тайне.
Организация защиты информации
Хранить свой секрет – мудро, но ждать, что его будут хранить другие, – глупо.
(С. Джонсон )
Наиболее разумными усилиями в этом направлении большинство специалистов считает проведение следующих «защитных» мероприятий:
адекватное определение перечня сведений, подлежащих защите;
выявление уровней доступности и прогнозирование возможных уязвимых мест в доступе к информации;
принятие мер по ограничению доступа к информации или объекту;
организация охраны помещения и постоянного контроля за сохранностью информации (в частности, необходимость наличия закрывающихся шкафов, сейфов, кабинетов, телевизионных камер слежения и т. п.);
наличие четких правил обращения с документами и их размножения. Как известно, изобретение множительной техники буквально вызвало всплеск промышленного шпионажа;
наличие на документах надписей «Секретно», «Для служебного пользования», а на дверях – «Посторонним вход воспрещен». Каждый носитель информации (документ, диск и др.) должен иметь соответствующее обозначение и место хранения (помещение, сейф, металлический ящик);
подписание с сотрудниками организации, фирмы договора о неразглашении тайны.
Основным средством защиты информации остаются в настоящее время режимные меры, направленные на предотвращение утечки конкретных сведений. Принятие этих мер зависит, прежде всего, от владельцев информации, складывающейся в их сфере деятельности конкурентной обстановки, ценности, которую представляет для них производственная или коммерческая информация, других факторов.
В числе мер защиты информации можно выделить внешние и внутренние.
К внешним мероприятиям относятся: изучение партнеров, клиентов, с которыми приходится вести коммерческую деятельность, сбор информации об их надежности, платежеспособности и других данных, а также прогнозирование ожидаемых действий конкурентов и преступных элементов. По возможности выясняются лица, проявляющие интерес к деятельности организации (фирмы), к персоналу, работающему в организации.
Внутренние мероприятия по обеспечению безопасности включают вопросы подбора и проверки лиц, поступающих на работу: изучаются их анкетные данные, поведение по месту жительства и на прежней работе, личные и деловые качества, психологическая совместимость с сотрудниками; выясняются причины ухода с прежнего места работы, наличие судимостей и пр. В процессе работы продолжается изучение и анализ поступков сотрудника, затрагивающих интересы организации, проводится анализ его внешних связей.
Сотрудники – важнейший элемент системы безопасности. Они могут сыграть значительную роль в защите коммерческой тайны, но в то же время могут быть и основной причиной ее утечки. Часто это случается по причине невнимательности, неграмотности. Поэтому регулярное и доходчивое обучение персонала вопросам секретности является важнейшим условием сохранения тайны. Однако нельзя исключать случаи умышленной передачи (продажи) работником секретов фирмы. Мотивационную основу таких поступков составляют либо корысть, либо месть, например, со стороны уволенного работника. Практика подобных действий уходит своими корнями в глубокую древность.
Известно, что еще в Римской империи, когда основную часть работающего населения составляли рабы, обычной практикой было принуждение чужих рабов выдавать секреты хозяина. В Риме был даже принят специальный закон, предусматривающий наказание за подобные действия в виде штрафа размером в двойную стоимость причиненных убытков.
Для обеспечения защиты информации на предприятиях вводится определенный режим, порядок доступа иработы с информацией. Эффективность такого порядка возможна только при выполнении следующих условий:
единства в решении производственных, коммерческих, финансовых и режимных вопросов;
координации мер безопасности между всеми заинтересованными подразделениями;
экспертной оценки информации и объектов, подлежащих защите;
персональной ответственности руководителей и исполнителей, участвующих в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уроне режима охраны проводимых работ;
организации специального делопроизводства, надежного хранения и перевозки носителей коммерческой тайны, маркировки документации и пр.;
формирования списка лиц, уполномоченных классифицировать информацию, содержащую коммерческую тайну;
ограничения круга лиц, имеющих допуск к информации;
наличия единого порядка доступа и организации пропускного режима;
организации взаимодействия с органами власти, осуществляющими контроль за определенными видами деятельности предприятий;
наличия охраны, пропускного и внутреннего режима;
планового осуществления мер по защите и контролю за коммерческой тайной;
создания системы обучения исполнителей правилам обеспечения сохранности интеллектуальной собственности.
Защита информации предполагает использование специальных технических средств, электронных устройств, что позволяет не только сдерживать их утечку, но и останавливать такой вид деятельности, как промышленный (коммерческий) шпионаж. Большую их часть составляют технические средства обнаружения и средства противодействия устройствам прослушивания:
телефонный нейтрализатор (для подавления работы мини-передатчика и нейтрализации снятия аудиоинформации);
телефонный подавитель устройств прослушивания;
профессиональный детектор (используется для «грубого» определения местонахождения радиозакладок);
мини-детектор передатчиков (используется для точного определения местонахождения радиозакладок);
генератор шума.
Организации, располагающие ценной информацией, должны хранить ее в специальных несгораемых шкафах или сейфах, не допускать утери ключей от них или передачи на хранение другим лицам, даже из числа особо доверенных.
Некоторые фирмы, например, используют для хранения секретной информации сейфы (шкафы), открываемые с помощью специальной магнитной карты или других сложных сигнальных электронных устройств. Следует отметить, что эта мера значительно затрудняет доступ к информации, особенно при наличии комплекса защитных (физических и технических) мер у здания, где расположен сейф, иное хранилище. Некоторые фирмы тратят на защиту информации до 15 % своих доходов.
Одним из распространенных методов защиты интеллектуальной собственности является патент, то есть свидетельство, выдаваемое изобретателю или его правопреемнику на право исключительного пользования сделанным им изобретением. Патент призван защитить изобретателя (автора) от воспроизводства, продажи и использования его изобретения другими лицами.
Для защиты публикуемых работ автору рекомендуется воспроизводить на каждой копии следующую информацию: имя владельца авторского права; год издания работы; символ авторского права ©. Наконец, всем авторам при борьбе с посягательствами на их интеллектуальную собственность необходимо тесное сотрудничество с правоохранительными органами и общественностью. К сожалению, существующая практика борьбы с плагиатом и пиратством показывает, что такое сотрудничество тоже далеко не всегда дает ожидаемые результаты.
Осуществление специальных внутренних и внешних мер защиты ценных информационных систем должно возлагаться на специально подготовленных лиц. С этой целью предприниматель может обращаться за помощью к частным детективным фирмам, специализирующимся на сыске и охране собственности. Могут создаваться и собственные службы безопасности. Так как защитные мероприятия требуют значительных затрат, предприниматель сам должен решить, что ему выгоднее: мириться с утечкой информации или привлекать специализированные службы для ее защиты.
Вопросы для обсуждения
1. Какие угрозы – внешние или внутренние – оказываются более существенными для информационной безопасности нашего общества и вас лично? Почему?
2. Ощущаете ли вы в своей повседневной жизни отставание России в разработке и внедрении информационных систем разного уровня? Приведите примеры.
3. Решаются ли все проблемы информационной безопасности человека и общества созданием соответствующей нормативно-правовой базы и внедрением современных информационных технологий?
4. Ощущаете ли вы лично ограничения в праве на доступ к информации?
5. Происшедшая в мире информационная революция, на ваш взгляд, усилила или ослабила национальную безопасность России? Обоснуйте свой вариант ответа.
6. Что вы знаете об усилиях государства по защите интеллектуальной собственности и, в частности, борьбе с контрафактной продукцией? Поддерживаете ли вы эту борьбу личными действиями?
7. Есть ли в вашей деятельности и частной жизни сведения, требующие защиты от посторонних лиц? К какой группе секретности вы отнесли бы эти сведения?
УДК 323.2
ББК 66.2 (2Рос)
Информационная безопасность является составляющей общей безопасности и стремительно развивается как во всем мире, так и в Российской Федерации. Господствовавшее до недавнего времени представление о защите информации как о предупреждении несанкционированного ее получения (сохранения тайны) является чрезмерно узким. Анализ современного состояния информационной безопасности в России показывает, что уровень информационной безопасности в настоящее время не соответствует жизненно важным потребностям личности, общества и государства. Законодатель Российской Федерации не дает понятия информационной безопасности, явление представляется на уровне «Доктрины информационной безопасности Российской Федерации».
Ключевые слова: защита данных , информационная безопасность , информация , объекты , угрозы .Анализ современного состояния информационной безопасности в России показывает, что уровень информационной безопасности в настоящее время не соответствует жизненно важным потребностям личности, общества и государства. Сегодняшние условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных ограничений на ее распространение. Отсутствие действенных механизмов регулирования информационных отношений в обществе и государстве приводит ко многим негативным последствиям.
Информационная безопасность является составляющей общей безопасности и стремительно развивается как во всем мире, так и в Российской Федерации, глобальная информатизация охватывает все сферы государства - экономическую, военную, политическую, промышленную и т.п. Кроме всего, вычислительная техника становится неотъемлемой частью жизнедеятельности человека. Информационная безопасность, как и любой иной объект, имеет угрозы, посягающие как на целостность физическую, так и ее производных.
Исторически информация всегда имела огромное значение в быту людей и всегда ей отводилось особое место в нем, много внимания уделялось развитию средств и методов ее защиты. Анализ процесса развития этих средств и методов защиты информации позволяет разделить его на три относительно самостоятельных периода. В основе такого деления лежит эволюция видов носителей информации.
Первый период определяется началом создания осмысленных и самостоятельных средств и методов защиты информации и связан с появлением возможности фиксации информационных сообщений на твердых носителях, т.е. с изобретением письменности. Вместе с неоспоримым преимуществом сохранения и перемещения данных возникла проблема обеспечения сохранения в тайне существующей уже отдельно от источника конфиденциальной информации. Поэтому практически одновременно с рождением письменности возникли такие методы защиты информации, как шифрование и скрытие .
По утверждению ряда специалистов, криптография по возрасту - ровесник египетских пирамид. В документах древних цивилизаций - Индии, Египта, Месопотамии - есть сведения о системах и способах составления шифрованных писем. В древних религиозных книгах Индии указывается, что сам Будда знал несколько десятков способов письма, среди которых присутствовали шифры перестановки (по современной классификации). Один из самых старых шифрованных тестов из Месопотамии (ХХ в. до н. э.) представляет собой глиняную табличку, содержащую рецепт изготовления глазури в гончарном производстве, в котором игнорировались некоторые гласные и согласные и употреблялись числа вместо имен.
Второй период (примерно с середины ХIX века) характеризуется появлением технических средств обработки информации и возможностью сохранения и передачи сообщений с помощью таких носителей, как электрические сигналы и электромагнитные поля (например телефон, телеграф, радио). Возникли проблемы защиты от так называемых технических каналов утечки (побочных излучений, наводок и др.). Появились способы шифрования сообщений в реальном масштабе времени (в процессе передачи по телефонным и телеграфным каналам связи) и т.д. Кроме того, это период активного развития технических средств разведки, многократно увеличивающих возможности ведения промышленного и государственного шпионажа. Огромные, все возрастающие убытки предприятий и фирм способствовали научно-техническому прогрессу в создании новых и совершенствовании старых средств и методов защиты информации.
Наиболее интенсивное развитие этих методов приходится на период массовой информатизации общества (третий период ). Поэтому история наиболее интенсивного развития проблемы защиты информации связана с внедрением автоматизированных систем обработки информации и измеряется периодом в более чем 40 лет. В 60-х годах на Западе стало появляться большое количество открытых публикаций по различным аспектам защиты информации. Такое внимание к этой проблеме в первую очередь было вызвано все возрастающими финансовыми потерями фирм и государственных организаций от преступлений в компьютерной сфере.
В ежегодном докладе ФБР было сказано, что за 1997 год от противоправной деятельности иностранных спецслужб американские владельцы интеллектуальной собственности понесли ущерб, превышающий 300 млрд. долларов .
Выводы западных экспертов показывают, что утечка 20 % коммерческой информации в шестидесяти случаях из ста приводит к банкротству фирмы.
Все большие финансовые потери приносят вирусные атаки на компьютерные сети. Так, запущенный через электронную почту Интернет в мае 2000 года вирус «I love you» вывел из строя свыше пяти миллионов компьютеров и нанес ущерб свыше 10 млрд. долларов .
В таком случае возникает вопрос безопасности, способный предотвратить, пресечь подобные негативные, приносящие вред, явления.
Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз .
Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства. Из вышеперечисленных примеров становится ясно, что жизненно важными интересами выступают сведения с определенной ценностью для субъекта, их использовавшего, а также иные объекты информационной системы (в нашем примере это была телекоммуникационная система). В связи с этим в иностранных государствах роль защиты информации возросла, что связано с развитием технологий передачи сведений (данных) с помощью электронно-вычислительных машин в телекоммуникационных системах как общего пользования, так и специального назначения, и становлением «информационного» общества.
В нашей стране давно и небезуспешно стали также заниматься проблемами защиты информации. И не зря советская криптографическая школа до сих пор считается лучшей в мире. Однако чрезмерная закрытость всех работ по защите информации, сконцентрированных главным образом в отдельных силовых ведомствах, в силу отсутствия регулярной системы подготовки профессионалов в этой области и возможности широкого обмена опытом привела к некоторому отставанию в отдельных направлениях информационной безопасности, особенно в обеспечении безопасности компьютерной.
В данное время есть все основания утверждать, что в России сложилась отечественная школа защиты информации. Ее отличительной особенностью является то, что в ней наряду с решением сугубо прикладных проблем защиты большое внимание уделяется формированию развитого научно-методо-логического базиса, создающего объективные предпосылки для решения всей совокупности соответствующих задач на регулярной основе.
Естественно, что за истекшее после возникновения проблемы защиты информации время существенно изменилось как представление о ее сущности, так и методологические подходы к решению. Указанные изменения происходили постепенно и непрерывно, поэтому всякая периодизация этого процесса в значительной мере будет носить искусственный характер. Тем не менее, весь период активных работ по рассматриваемой проблеме в зависимости от подходов к ее решению довольно четко делится на три этапа.
Господствовавшее до недавнего времени представление о защите информации как о предупреждении несанкционированного ее получения (сохранении тайны) является чрезмерно узким. Более того, само понятие «тайна» до недавнего времени ассоциировалось преимущественно с государственными секретами, в то время как в современных условиях повсеместное распространение получают понятия промышленная, коммерческая, банковская, личная и другие тайны. В действующих законодательных актах Российской Федерации (РФ) встречаются понятия более чем 40 видов тайн. Таким образом, даже в рамках традиционного представления о защите информации ее содержание должно быть существенно расширено.
Но в данной работе, изучая информационную безопасность, необходимо уделить особое внимание рассмотрению понятия государственной тайны, так как уровень важности тайны всегда определяется по степени ущерба не только по отношению к одному индивиду, но и к социальной группе, обществу и государству соответственно. Исходя из этого, на первое место выходит государственная тайна.
Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации .
Определенную системность в решение вопросов места государственной тайны в жизни общества и государства внес принятый в 1993 году Закон Российской Федерации «О государственной тайне». Продолжая традицию отнесения определенных категорий сведений к тайне, Закон делает принципиальный шаг вперед, устанавливая целый блок социально значимых сведений, которые не могут быть засекречены (ст. 7). Законом выработан конкретный правовой механизм, согласно которому должностные лица, принявшие решение о засекречивании указанных сведений, несут различные виды юридической ответственности, а граждане вправе обжаловать такие решения в суд.
Второй принципиальной новацией данного Закона является введение норм, регулирующих взаимоотношения государства и собственника информации при отнесении сведений к государственной тайне. За уполномоченными должностными лицами сохра-няется императивное право засекречивать информацию, владель-цами которой являются учреждения, организации или граждане. В то же время владелец информации обладает правом возмещения материального ущерба, наступающего в связи с засекречиванием информации, размер которого определяется договором, а также правом обжаловать действия органа государственной власти в суде.
Конечно, Закон «О государственной тайне» лишь первый шаг на пути рационального и разумного подхода к регулированию отношений, связанных с государственной тайной. Приведенный пример может служить подтверждением одного непреложного факта - принцип определения категорий информации, относимых к государственной тайне, является государственным императивом, в ряде случаев зависящим от конкретной экономической либо политической обстановки, и в силу этого не могущим быть незыбле-мым. К тому же, какие бы законодательные рамки ни существовали, в механизме отнесения сведений к государственной тайне наиболее важным звеном был и остается конкретный орган исполнительной власти, так как именно по его предложениям (читай - интересам) формируются категории общегосударственного перечня. С учетом того, что само понятие государственная тайнапо-прежнему вызывает у большинства должностных лиц и граждан некий благоговейный трепет, а подавляющее большинство руково-дителей федеральных органов исполнительной власти на основа-нии статьи 9 Закона наделено полномочиями по отнесению сведе-ний к государственной тайне, система «сдержек и противовесов», заложенная в провозглашенном Конституцией принципе разделе-ния властей, пока работает в регулировании данной сферы отно-шений крайне слабо.
Кроме того, анализ безопасности и информации в отдельности от информационной безопасности показывает, что конкретное понятие определено законодательством, но в основанных на доктрине информационной безопасности законах самого ее определения как таковой нету.
В последнее время проблема защиты информации рассматривается как проблема информационной безопасности - неотъемлемой составной части национальной безопасности Российской Федерации. Это ясно определяется Концепцией национальной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 17 декабря 1997 года № 1300 (последняя редакция - январь 2000 года) и Доктриной информационной безопасности РФ, принятой в сентябре 2000 года. Здесь система национальных интересов России определяется совокупностью основных интересов личности, общества и государства.
Прежде чем рассмотреть, что такое информационная безопасность и роль ее в государстве, его управлении, необходимо определиться в таком явлении, предмете жизнедеятельности, как информация.
В данной работе содержание информации будет рассмариваться с учетом задач и проблем информатизации, как организационного социально-эконо-мического и научно-технического процесса создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов и возникающих при этом общественных и, прежде всего, правовых отношений. С позиций такого подхода, а также рассмотренных понятий информация будет носить двойственный характер.
Во-первых, она является информационным ресурсом общества, обладающим определенными свойствами и необходимым для информационного обеспечения общественной деятельности и повседневной жизни людей.
Во-вторых, информация - это специфическое сырье, подлежащее обработке специальными технологиями с целью получения определенного информационного продукта, обладающего заданным свойством (качеством). При этом требования к свойствам информации определяются собственником, владельцем или пользователем (потребителем).
Существует множество определений понятия «информация»: от наиболее общего, философского (информация есть отражение материального мира) до наиболее узкого, практического (информация есть все сведения, являющиеся объектом хранения, передачи и преобразования) .
До середины 20-х годов ХХ века под информацией действительно понимались «сообщения и сведения», передаваемые людьми устным, письменным или иным способом. С середины ХХ века информация превращается в общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и растительном мире; передачу признаков от клетки к клетке, от организма к организму (генетическая информация) . Это одно из основных понятий кибернетики.
В связи с развитием средств связи и телекоммуникаций, вычислительной техники и их использованием для обработки и передачи информации возникла необходимость измерять ее количественные характеристики. К. Шенноном и У. Уивером были предложены вероятностные методы для определения количества передаваемой информации. Появилось понятие «энтропия информации» как мера ее неопределенности. .
Н. Винер предложил «информационное видение» кибернетики считать наукой об управлении в живых организмах и технических системах . Под информацией стали понимать уже не просто сведения, а только те из них, которые являются новыми и полезными для принятия решения, обеспечивающего достижение цели управления.
Уже много лет развивается семантическая теория информации, которая изучает смысл, содержащийся в сведениях, их полезность и ценность для потребителя.
Для раскрытия определения содержания понятия информации рассмотрим его дополняющее компоненты принятые в действующих нормативных правовых актах .
Документированная информация (документы) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством.
Массовая информация - предназначенные для неограниченного кругалиц печатные, аудио-, аудиовизуальные и иные сообщения и материалы.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других видах информационных систем).
Информационные продукты (продукция) - документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей пользователей.
Компьютерная информация - информация на машинном носителе, в ЭВМ, системе ЭВМ или их сети.
С точки зрения процесса защиты информации нам важно представлять это понятие в более материалистической плоскости, позволяющей направлять действия по обеспечению безопасности на конкретный объект. Поэтому остановимся на следующем определении: информация - сведения (сообщения, данные) независимо от формы их представления. .
Независимо от сфер деятельности личности, общества и государства, обеспечение безопасности информации тесно взаимосвязано с получением, накоплением, обработкой и использованием разнообразной информации, поступающей от различных источников. В силу этого источник является неотъемлемой частью объекта правового регулирования отношений в сфере обеспечения информационной безопасности. Под источником информации понимается объект, обладающий определенной информацией, которую можно получить (получать) одноразово или многократно для поставленных целей определенным ее приемником. Источник связан с каким-то получателем (субъектом), имеющим ту или иную возможность доступа к информации. Источник в этой паре выступает как бы пассивной стороной, а получатель - субъект активной. С учетом рассмотренных выше понятий конфиденциальной информации под источником конфиденциальной информации будем понимать объект, обладающий определенными охраняемыми сведениями, представляющими интерес для злоумышленников.
К объектам информационной безопасности Российской Федерации относятся:
Информационные ресурсы, независимо от форм хранения, содержащие информацию, составляющую государственную тайну и ограниченного доступа, а также открытую (общедоступную) информацию и знания;
Система формирования, распространения и использования информационных ресурсов, включающая информационные системы различного класса и назначения, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;
Информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;
Система формирования общественного сознания (мировоззрение, политические взгляды, моральные ценности и пр.), базирующаяся на средствах массовой информации и пропаганды;
Права граждан, юридических лиц и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности.
Информационная безопасность всех вышеуказанных объектов создает условия надежного функционирования государственных и общественных институтов, а также формирования общественного сознания, отвечающего прогрессивному развитию страны.
К настоящему времени известно большое количество разноплановых угроз информации (в системах ее обработки она понимается под возможностью возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию) различного происхождения, таящих в себе различную опасность для нее. Для системного представления их удобно классифицировать по виду, возможным источникам, предпосылкам появления и характеру проявления.
Определив понятие “угроза информации”, рассмотрим его относительно непосредственного воздействия на информацию, обрабатываемую на каком-либо объекте (кабинете, предприятии, фирме). Анализируя возможные пути воздействия на информацию, представляемую как совокупность n информационных элементов, связанных между собой логическими связями, можно выделить основные нарушения, которые будут являться видами угроз информационной безопасности:
Физической целостности (уничтожение, разрушение элементов);
Логической целостности (разрушение логических связей);
Конфиденциальности (разрушение защиты, уменьшение степени защищенности информации);
Прав собственности на информацию (несанкционированное копирование, использование).
В законе РФ «О безопасности» дано определение угрозы безопасности как совокупности условий, факторов, создающих опасность жизненно важным интересам личности, общества и государства. В связи с этим и вышеизложенным под информационной безопасностью понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства .Тогда с позиции обеспечения информационной безопасности можно определить, что под информационной угрозой понимается воздействие дестабилизирующих факторов на состояние информированности, как извне, так и внутри государства, подвергающее опасности жизненно важные интересы личности, общества и государства.
Из определения мы видим, что существуют внешние и внутренние источники угрозы информационной безопасности.
К внешним источникам относятся: недружественная политика иностранного государства в области глобального информационного мониторинга, распространение информации и новых информационных технологий; деятельность иностранных разведывательных и специальных служб; деятельность иностранных политических и экономических структур, направленная против интересов России; преступные действия международных групп, формирований и отдельных лиц; стихийные бедствия и катастрофы.
Внутренними источниками угроз являются: противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информации; неправомерные действия государственных структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере; нарушения установленных регламентом сбора, обработки и передачи информации; преднамеренные действия и непреднамеренные ошибки персонала информационных систем; отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах. В результате воздействия угроз информационной безопасности может быть нанесен серьезный ущерб жизненно важным интересам Российской Федерации в политической, экономической, оборонной и других сферах деятельности государства, причинен социально-экономический ущерб обществу и отдельным гражданам.
Следствием такого воздействия могут быть: создание препятствий на пути равноправного сотрудничества России с развитыми странами и дружественными государствами; затруднения принятия важнейших политических, экономических и других решений; подрыв государственного авторитета Российской Федерации на международной арене; создание атмосферы напряженности и политической нестабильности в обществе; нарушение баланса интересов личности, общества и государства; дискредитация органов государственной власти и управления; провоцирование социальных, национальных и религиозных конфликтов; инициирование забастовок и массовых беспорядков; нарушение функционирования системы государственного управления, а также систем управления войсками, вооружением и военной техникой, объектами повышенной опасности.
Также следствием воздействия угроз могут явиться снижение темпов научно-технического развития страны, утрата культурного наследия, проявления бездуховности и безнравственности. Весьма существенный экономический ущерб в различных областях общественной жизни и в сфере бизнеса может быть причинен в результате нарушений законодательства в информационной сфере и компьютерных преступлений.
Угрозы информационной безопасности могут нанести физический, материальный и моральный ущерб гражданам, вызвать неадекватное социальное или криминальное поведение групп людей или отдельных лиц, оказать влияние на процессы образования и формирования личности.
Способы воздействия угроз на объекты информационной безопасности в Российской Федерации подразделяются на информационные, программно-математические, физические, радиоэлектронные, организационно-правовые.
К информационным способам относятся: нарушения адресности и своевременности информационного обмена, противозаконный сбор и использование информации; несанкционированный доступ к информационным ресурсам; манипулирование информацией (дезинформация, сокрытие или искажение информации); незаконное копирование данных в информационных системах; использование средств массовой информации с позиций, противоречащих интересам граждан, организаций и государства; хищение информации из библиотек, архивов, банков и баз данных; нарушение технологии обработки информации.
Программно-математические способы включают: внедрение программ-вирусов; установку программных и аппаратных закладных устройств; уничтожение или модификацию данных в информационных системах.
Физические способы включают: уничтожение или разрушение средств обработки информации и связи; уничтожение, разрушение или хищение программных или аппаратных ключей и средств криптографической защиты информации; воздействие на персонал; поставка «зараженных» компонентов информационных систем.
Радиоэлектронными способами являются: перехват информации в технических каналах ее утечки; внедрение электронных устройств перехвата информации в технических каналах и помещениях; перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи; воздействие на парольно-ключевые системы; радиоэлектронное подавление линий связи и систем управления.
Организационно-правовые способы включают: закупку несовершенных или устаревших информационных технологий и средств информатизации; невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере; неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.
В целях предотвращения, парирования и нейтрализации угроз информационной безопасности применяются базовые методы. К ним относятся правовые, программно-технические и организационно-экономические методы.
Правовые методы предусматривают разработку комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе, руководящих и нормативно-методических документов по обеспечению информационной безопасности.
Программно-технические методы включают предотвращение утечки обрабатываемой информации путем исключения несанкционированного доступа к ней; предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; выявление внедренных программных или аппаратных закладных устройств; исключение перехвата информации техническими средствами; применение криптографических средств защиты информации при передаче по каналам связи.
Организационно-экономические методы предусматривают формирование и обеспечение функционирования систем защиты секретной и конфиденциальной информации; сертификацию этих систем по требованиям информационной безопасности; лицензирование деятельности в сфере информационной безопасности; стандартизации способов и средств защиты информации; контроль за действием персонала в защищенных информационных системах.
Важное место среди этих методов занимают мотивация, экономическое стимулирование и психологическая поддержка деятельности персонала, занятого обеспечением информационной безопасности.
Происходящие в настоящее время процессы преобразования в политической жизни и экономике России оказывают непосредственное влияние на состояние ее информационной безопасности. При этом возникают новые факторы, которые необходимо учитывать при оценке реального состояния информационной безопасности и определении ключевых проблем в этой области. Их можно разделить на политические, экономические и организационно-технические.
К политическим факторам относятся:
Изменение геополитической обстановки вследствие фундаментальных перемен в различных регионах мира, сведения к минимуму вероятности мировой ядерной и обычной войн;
Информационная экспансия США и других развитых стран, осуществляющих глобальный мониторинг мировых политических, экономических, военных, экологических и других процессов, распространяющих информацию в целях получения односторонних преимуществ;
Становление новой российской государственности на основе принципов демократии, законности и информационной открытости;
Разрушение ранее существовавшей командно-административной государственной системы управления, а также сложившейся системы обеспечения безопасности страны;
Нарушение информационных связей вследствие образования независимых государств на территории бывшего СССР;
Стремление России к более тесному сотрудничеству с зарубежными странами в процессе проведения реформ на основе максимальной открытости сторон;
Низкая общая правовая и информационная культура в российском обществе.
Среди экономических факторов наиболее существенными являются:
Переход России на рыночные отношения в экономике, появление множества отечественных и зарубежных коммерческих структур - производителей и потребителей информации, средств информатизации и защиты информации, включение информационной продукции в систему товарных отношений;
Критическое состояние отечественных отраслей промышленности, производящих средства информатизации и защиты информации;
Расширяющаяся кооперация с зарубежными странами в развитии информационной инфраструктуры России.
Из организационно-технических факторов определяющими являются:
Недостаточная нормативно-правовая база в сфере информационных отношений, в том числе в области обеспечения информационной безопасности;
Слабое регулирование государством процессов функционирования развития рынка средств информатизации, информационных продуктов и услуг в России;
Широкое использование в сфере государственного управления и кредитно-финансовой сфере не защищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации;
Рост объемов информации, передаваемой по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена;
Обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно-финансовой сфере.
Таким образом, под информационной безопасностью Российской Федерации понимается состояние защищенности информации, информационных ресурсов и информационной инфраструктуры, обеспечивающей жизненно важные интересы личности, общества и государства, а также способность государства обеспечивать информацией, необходимой для противодействия планам и намерениям иностранных государств, организаций и лиц причинить вред интересам безопасности государства.
Из вышеизложенного следует, что информационная безопасность определяется способностью государства, общества, личности:
Обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;
Противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;
Вырабатывать личностные и групповые навыки и умения безопасного поведения;
Поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать .
На законодательном уровне понятия информационной безопасности не дается, но определения безопасности (состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз ) и информации (информация - сведения (сообщения, данные) независимо от формы их представления ) в разных правовых актах даются.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства .
Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер.
В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Российской Федерации. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности Российской Федерации.
Литература
- Шиверский А.А. Защита информации: проблемы теории и практики. - М.: Юрист, 1996. - 112 с.
- Петраков А.В., Лагутин В.С. Утечка и защита информации в телефонных каналах. - М.: Энергоатомиздат, 1998. - 112 с
- Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. - И.: Горячая линия- Телеком, 2000. С. 26.
- Закон РФ от 05.03.1992 № 2446-1 «О безопасности» // Российская газета, № 103, 06.05.1992.
- Ст. 2 закона РФ от 21.07.1993 № 54851 «О государственной тайне» // Собрание законодательства РФ, 13.10.1997, № 41, С. 8220-8235.
- Семкин С.Н., Фисун А.П. Правовые основы защиты информации. - Орел: ВИПС, 2003. - 131 с.
- Расторгуев С.П. Инфицирование как способ защиты жизни. - М.: Яхтсмен, 1996. - 143 с.
- Шеннон К.Е. Математическая теория связи. Работы по теории информации и кибернетике. - М.: Норма 2001, с. 53.
- Винер Н. «Творец и робот». - М.: Прогресс, 1998. - 202 с.
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета, № 165, 29.07.2006.
- П. 1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета, № 165, 29.07.2006.
- «Доктрина информационной безопасности Российской Федерации» утвержденная Президентом РФ 09.09.2000 № Пр-1895 // Российская газета, № 187, 28.09.2000.
Bibliography
- Shiverskiy A.A. Information protection: problems of theory and practice. - M.: Yurist, 1996. - 112 p.
- Petrakov A.V., Lagutin V.S. Data leakage and protection in telephone channels. - M.: Energoatomizdat, 1998. - 112 p.
- Zegzhda D.P., Ivashko A.M. “Basics of information systems security”. - I.: Goryatchaya liniya - Telekom, 2000, p. 26.
- Law of the RF dated 05.03.1992 № 2446-1 “About the security” // Rossiyskaya gazeta, № 103, 06.05.1992.
- Article 2, Law of the RF dated 21.07.1993 № 54851 “About the National Security Information” // Collected Legislation of the RF, 13.10.1997, № 41, p. 8220-8235
- Semkin S.N., Fisun A.P. and others “Legal basics of information protection”. - Oryol: VIPS, 2003. - 131 p.
- Rastorguyev S.P. “Infection as a method of life protection”. - M.: Yahtsmen, 1996. - 143 p.
- Shennon K.E. “Mathematical theory of connection. Works on theory of information and cybernetics”: Norma 2001, p. 53.
- Viner N. “Creator and robot”. - M.: Progress, 1998 - 202 p.
- Federal law dated 27.07.2006 № 149-Federal Legislation “About the information, information technologies and information protection” // Rossiyskaya gazeta, № 165, 29.07.2006
- Item 1, article 2 of the federal law dated 27.07.2006 № 149- Federal Legislation “About the information, information technologies and information protection” // Rossiyskaya gazeta, № 165, 29.07.2006
- Doctrine of information security of the Russian federation” affirmed by the President of the RF 09.09.2000 № Orde-1895 // published by Rossiyskaya gazeta, № 187, 28.09.2000.
Problem of information security in the Russian federation
Information security is a compound of general security and has rapid development both in the whole world and the Russian Federation. The idea about the protection of information as a warning of its illegal acquiring which has prevailed until recently is too narrow. Analysis of the present state of information security in Russia shows that the level of information security at present time doesn’t correspond to the vital requirements of a person, society and state. A legislator of the Russian Federation doesn’t introduce the notion of state security. The event is introduced on the level of “Doctrine of information security of the Russian Federation”.
Key words:На всем протяжении человеческой истории практика обеспечения безопасности одних государств и народов в ущерб интересам и безопасности других порождала непрерывную цепь войн и вооруженных конфликтов. Однако на фоне разрушений и кровопролития шел поиск путей мирного развития цивилизации. Еще составители библейских книг мечтали о тех временах, когда племена и народы «перекуют мечи свои на орала и копья свои -- на серпы». Рассмотрению вопросов войны и мира, возможностям государственной власти ограничить использование вооруженного насилия уделено значительное место в таких памятниках античной философии и политико-правовой мысли, как «Государство» Платона и «Афинская полития» Аристотеля. В пятом веке нашей эры (468 г.) Карфагенский собор сформулировал фундаментальное положение международного права «Pacta sunt servanda», зафиксировав там самым общее понимание примата мирного пути разрешения конфликтов. информационный безопасность мировой
Вступление мирового сообщества в эпоху глобализации «смешало» экономики, изменил подход к понятию государственного суверенитета, уничтожил границы для финансов и информации, сделал бессмысленным разрушение экономической инфраструктуры на территории государства-противника. Реакцией стала революция в военном деле. На смену разрушающим методам и средствам приходят контролирующие и, в первую очередь, информационные, получившие уже название «информационного оружия». Все эти факторы потребовали целого комплекса мероприятий принципиально нового типа, которые связываются с понятием «информационной безопасности».
Управление всеми важнейшими объектами народного хозяйства, социальной и военной сферы развитых стран основано на широком использовании информационно-коммуникационных технологий. Нарушение информационной инфраструктуры ядерных объектов, особо опасных химических производств, гидросооружений, транспорта, систем обороны приведет к техногенным и экономическим катастрофам. Вследствие глобализационных процессов риски в этой области усугубляются не обязательной принадлежностью такого рода объектов стране расположения. Каналы связи, по которым проходит управленческая и другая критическая для конкретных структур и даже государств информация могут проходить по территориям или пространствам (воздушным, космическим, радиосвязи) десятков других стран или через телекоммуникационные системы, находящиеся под юрисдикцией и управление других государств, в том числе потенциальных противников.
Информационно-технический прогресс в военном деле обеспечил условия для ускоренного совершенствования вооружения и военной техники на основе широкого внедрения новых информационных технологий и создания информационного оружия. Интеллектуализация способствовала кардинальному увеличению точности, дальности и мощности действия классических видов вооружений, резкому увеличению возможностей разведки, систем сбора и обработки информации и, как следствие, уменьшению времени принятия оперативных решений. Внедрение сетевых технологий в военном деле принципиально изменяет военную стратегию и тактику, военное искусство. В этих условиях информационное оружие может стать тем самым искомым эффективным силовым средством, не предусматривающим разрушения объектов и уничтожения живой силы и населения противника, позволяющим решать многие конфликты без применения традиционных средств вооруженной борьбы, подчинять себе противника, его экономические и трудовые ресурсы без применения силовых методов. Страны, обладающие таким оружием и военной техникой, получают громадное военное преимущество перед противником, оснащенным традиционными типами вооружений.
Тем самым одним из наиболее опасных источников угроз интересам общества и государства в информационной сфере становятся распространение «информационного оружия» и развертывание гонки вооружений в этой области, попытки реализации концепций ведения «информационных войн». Разрушительное воздействие «информационного оружия» в информационном обществе может оказаться более мощным и эффективным, чем это представляется сегодня.
В настоящее время, по разным оценкам, свыше 120 стран имеют или разрабатывают различные виды информационного оружия. Преимущественно идет создание оружия информационно-технического воздействия, в первую очередь, направленного на несанкционированный доступ и дезорганизацию работы средств вычислительной техники. Усиленно разрабатываются средства защиты информации. Причем последним, по вполне понятным причинам, вынуждены заниматься и страны, не планирующие ведение наступательных информационных операций, но имеющие развитую информационную инфраструктуру.
Данные обстоятельства делают проблему международной информационной безопасности (МИБ) условием мирового развития, а обеспечение безопасности интересов Российской Федерации в информационной сфере важным фактором национальной безопасности.
События 11 сентября 2001 г. и последующего периода резко обострили внимание политиков и аналитиков к возможности использования в террористических целях вместо традиционного оружия массового уничтожения высокотехнологичных средств воздействия, в том числе информационного оружия и информационно-ориентированных средств.
Ведущие западные политики и эксперты приходят к осознанию того, что информационное оружие может обеспечить "асимметричный ответ" неядерных государств в конфликтах различной интенсивности. Развитие информационного военного потенциала может компенсировать неспособность поддерживать баланс сил в области обычных вооружений, особенно при отсутствии на вооружении оружия массового уничтожения и достаточных ракетных средств.
Специальные средства воздействия на информационные компоненты военных и критических гражданских структур начали целенаправленно создаваться в технологически развитых странах в 70-80-е годы и к середине 90-х уже поступили на вооружение армий передовых государств. В соответствии с принятыми военными доктринами информационное оружие предназначается для воздействия на ключевые элементы управления и связи военных, экономических и государственных структур, а также население противника и нацелено на дезорганизацию и нанесение значительного ущерба. Это придает ему характер оружия массового поражения, а при применении против объектов ядерной, химической, гидрологической и других особо опасных сфер или при использовании для перенацеливания (за счет перехвата и изменения управляющей или навигационной информации) стратегических вооружений - массового уничтожения. Наличие у противника потенциала информационных средств может свести на нет боевую мощь наступающей стороны и возможности эффективной обороны.
Информационные средства могут выступать как самостоятельно, так и в качестве обеспечивающих или поддерживающих при проведении масштабных террористических акций или терактов с применением других видов и форм воздействия. Эксперты Пентагона вынуждены были признать, что в осуществленных осенью 2001 года терактах были применены средства, относимые к информационным. Имевшие место нарушения работы ряда аэропортов и авиационных служб способствовали проведению терактов, а их прямая трансляция по каналам CNN многократно усилила психологический эффект, фактически тем самым частично решив задачи, поставленные перед собой террористами. Использование для распространения возбудителей сибирской язвы почтовых отправлений расценивается как воздействие на один из важных каналов связи, т. е. информационных каналов. Последовавшие события подтвердили эффективность воздействия на информационные инфраструктуры, поскольку, кроме прямого социально-политического и социально-психологического (что и считалось до последнего времени целью террористической деятельности) ущерба, нанесло существенный экономический ущерб.
Особую озабоченность вызывает распространение в глобальных информационных сетях и на электронных носителях сведений и практических рекомендаций по подрывной деятельности и созданию оружия, включая оружие массового уничтожения (ОМУ).
Многие аналитические центры в мире ведут проработку возможных сценариев информационных войн, исходя в своих стратегиях именно из задачи обеспечения информационного доминирования. Доминирование в информационной сфере реально означает не абстрактную возможность влиять на мировую инфосферу, а обладание вполне конкретным потенциалом, позволяющим диктовать свою волю, то есть обеспечить глобальное доминирование. Во что это конкретно воплощается, по крайней мере в региональном измерении, человечество имело возможность убедиться в ходе известных локальных войн и "миротворческих операций" конца ХХ века.
Более чем представительный список ставших известными кибератак показывает, что подобные средства и методы уже освоены также и международными террористическими, и экстремистскими организациями. Имевшие место инциденты на ядерных электростанциях в разных странах мира подтверждают тезис о том, что информационные управляющие системы остаются одним из наиболее уязвимых звеньев в системе безопасности такого рода объектов. В то же время в ряде случаев криминализация деструктивных действий в информационном пространстве признается специалистами проблематичной. Процесс же формирования международного правового поля в отношении военных и преступных действий в информационном пространстве не смотря на определенные подвижки встречает заметное противодействие.
Основы ведения информационной войны в военной теории разработаны достаточно подробно, однако не следует ожидать их обязательного воплощения в жизнь в ближайшем будущем. Причина этого состоит в том, что государственные и военные институты являются довольно консервативными структурами, и прохождение даже перспективной идеи от концептуальной разработки до практического воплощения подчас занимает десятилетия. Но даже теоретическая возможность ведения подобных войн не должна оставаться за скобками при обсуждении проблем международной безопасности и национальной безопасности государств и не может игнорироваться при анализе политических процессов и подготовке к возможным конфликтам будущего. Возможные информационные угрозы требуют принятия не только практических шагов по созданию адекватных средств ведения информационной войны (как оборонительного, так и наступательного характера) и разработке методов их применения, но и политико-правовых, в том числе дипломатических усилий, способствующих укреплению стратегической стабильности на основе совершенствования международного сотрудничества в этой сфере. Поэтому сегодня особую актуальность приобретает не только анализ применимости ранее выработанных правовых, в первую очередь международного гуманитарного права в новых реалиях, но и, что особенно важно, создания нового правового поля, направленного на минимизацию для человечества информационных рисков.
Информационная война для дипломатов и политиков является все еще новым явлением, практическая реализация присущих ей средств и методов до сих пор многими признается, в лучшем случае, в частных проявлениях, например, использование сети интернет в качестве среды ведения пропагандистской деятельности или использование графитовых бомб против объектов энергетической инфраструктуры в Югославии. Однако в основном все согласны, что уже в не столь отдаленном будущем неконтролируемый рост возможностей ведения информационной войны, распространение соответствующих средств могут привести не только к возобновлению гонки вооружений на качественно новом технологическом уровне и в принципиально новом стратегическом контексте, но и явятся стимулом для развязывания (в качестве ответа на «нетрадиционные вызовы») вооруженных конфликтов с применением традиционных средств ведения войны. И вероятность такого развития достаточно велика.
В соответствии со спецификой развития различных стран на первый план для них выдвигаются различные аспекты информационной войны. Например, в США на уровне государственных позиций наблюдается устойчивая тенденция рассматривать в качестве информационной войны исключительно действия против информационных инфраструктур (в узком понимании - информационных сетей). При этом рассматриваются преимущественно террористические и криминальные действия в тех их аспектах, которые направлены против информационных систем и ресурсов. В то же время в ряде стран «третьего мира» превалирует взгляд на информационную войну как совокупность пропагандистских действий, затрагивающих культурный и мировоззренческий уровень, с использованием информационных возможностей, предоставляемых процессами глобализации и общедоступностью СМИ. Две эти точки зрения, безусловно, являются полярными и не отражают всего спектра взглядов на информационную войну даже в упомянутых странах, однако они дают наглядное представление о существенных различиях в восприятии структуры рисков, возникающих в связи с развитием информационных технологий.
Несмотря на явные различия во взглядах на информационную войну и оценке спектра возникающих угроз национальной безопасности, практически все страны ясно осознают необходимость ведения международного обсуждения проблем информационной безопасности и информационной войны.
Новые технологии вызывают новые импульсы в праве. Анонимность и мультиюрисдиктность информационного пространства ставят вопросы, в государственном регулировании в принципе не существовавшие. Киберпространство не имеет границ, а, следовательно, и государственности. И здесь вопросы государственной безопасности могут решаться только как вопросы безопасности международной.
Накопленный опыт позволяет выделить несколько проблемных вопросов, решение которых представляется важным для продвижения в направлении формирования системы международной информационной безопасности.
Информационная сфера является весьма чувствительным фактором жизнедеятельности общества. Это предопределяет отношение государств к налаживанию сотрудничества в рассматриваемой области.
При этом, как показали результаты голосования в Первом комитете Генеральной Ассамблее ООН по резолюции «Достижения в области информационных технологий в контексте международной безопасности» в октябре 2009 года, мы можем исходить из того, что необходимость такого сотрудничества признается всеми государствами мира.
Одной из наиболее важных проблем продвижения в данном направлении является, прежде всего, достижение необходимого уровня политического доверия между правительствами государств мира. Известно, что это доверие возникает тогда, когда у основных субъектов международной политики имеются схожие взгляды на политическую ситуацию, на причины имеющихся дисгармоний и конфликтов в межгосударственных отношениях и путях снижения социально-политической опасности имеющихся разногласий.
Как мы видим, в современном мире роль диалога в разрешении конфликтов увеличивается, хотя конфликтов не становится существенно меньше. Политические лидеры разных государств мира прилагают определенные усилия для укрепления доверия, но значительную роль в решении этой задачи играет гражданское общество, которое во многом определяет допустимый для страны уровень доверия в отношениях с тем или иным государством и, соответственно - диапазон возможных действий политических лидеров в этой области.
Для формирования системы обеспечения международной информационной безопасности представляется важным определить возможную цель международного соглашения в данной области.
Представляется, что такой целью могло бы быть стать создание механизмов международного сотрудничества в области обеспечения устойчивости функционирования и безопасности использования глобальной информационной инфраструктуры и ее национальных сегментов, безопасности информационных и телекоммуникационных технологий.
Здесь под устойчивостью функционирования понимается способность сохранять работоспособность в условиях воздействия определенных неблагоприятных факторов.
Под безопасностью понимается защищенность от угроз нарушения конфиденциальности и целостности информации, циркулирующей в глобальной информационной инфраструктуре и ее национальных сегментах, а также от угроз использования уязвимостей информационных и телекоммуникационных технологий для агрессивного нанесения ущерба международной и национальной безопасности государств - членов международного сообщества.
Достижение данной цели могло бы способствовать укреплению доверия к глобальной информационной инфраструктуре, информационным и телекоммуникационным технологиям как фактору устойчивого развития человечества.
Можно предложить следующие основные направления сотрудничества в области формирования системы обеспечения международной информационной безопасности:
поддержания устойчивости и безопасности функционирования глобальной информационной инфраструктуры и ее национальных сегментов, которое в определенной степени базируется на интернационализации управления использованием и развитием глобальной сети Интернет;
выявление опасных нарушений устойчивости и безопасности глобальной информационной инфраструктуры и ее национальных сегментов, информационных и телекоммуникационных технологий, связанное с налаживанием международного мониторинга данных процессов и юридическое закрепление выявляемых нарушений;
проведение расследований по фактам опасных нарушений устойчивости функционирования и безопасности использования глобальной информационной инфраструктуры и ее национальных сегментов, безопасности информационных и телекоммуникационных технологий, связанное с выявлением уполномоченными международными органами лиц, действия которых привели к соответствующим нарушениям устойчивости и безопасности;
разработка и принятие требований по устойчивости и безопасности глобальной информационной инфраструктуры и ее национальных сегментов, безопасности информационных и телекоммуникационных технологий, оценка выполнения данных требований;
выработка и реализация предложений по повышению устойчивости и безопасности глобальной информационной инфраструктуры и ее национальных сегментов, безопасности информационных и телекоммуникационных технологий.
Первым шагом в данном направлении могла бы явиться проработка международным экспертным сообществом таких вопросов как:
терминология, используемая в области обеспечения международной информационной безопасности;
выработка общих подходов к определению объектов обеспечения международной информационной безопасности;
проработка возможных механизмов международного сотрудничества в обеспечении безопасности данных объектов;
проработка международно-правовых аспектов регулирования отношений в рассматриваемой области.
В процессе этой работы можно будет определиться с тем, на какой уровень сотрудничества в данной области могут быть готовы пойти государства - члены международного сообщества и применительно к данному уровню осуществить более детальную проработку научных, организационных, правовых, дипломатических и иных аспектов данной проблемы.
Основной целью политико-правового регулирования отношений в выделенных направлениях сотрудничества могло бы стать формирование международных механизмов предотвращения или минимизации негативных последствий агрессивного использования информационных и телекоммуникационных технологий для разрешения межгосударственных противоречий.
К числу принципов этого регулирования можно было бы отнести:
сохранение ведущей роли ООН;
уточнение функций и полномочий специализированных международных и негосударственных организаций в выполнении задач обеспечения международной информационной безопасности;
сотрудничество государств, бизнеса, негосударственных организаций и граждан.
К числу основных механизмов реализации сотрудничества по выделенным направлениям на данном этапе можно было бы отнести следующие:
проведение совместных исследований учеными и специалистами разных стран по грантам международного сообщества, заинтересованных государств или международных организаций;
продвижение результатов совместных исследований с помощью публикационной деятельности в направлении государственных органов, занимающихся подготовкой предложений лицам, принимающим решения;
проведение международных конференцией по тематике формирования международной информационной безопасности для расширения обмена мнениями по поводу получаемых результатов исследований.
Как представляется, международно-правовые формы закрепления механизмов сотрудничества в области обеспечения международной информационной безопасности в существенной степени зависят от достигнутого уровня доверия между участниками соответствующего сотрудничества.
На первом этапе данные механизмы могут быть закреплены, например, в меморандуме о взаимопонимании или в заявлении о готовности двигаться в выбранных направлениях сотрудничества, о согласии с целями и принципами формирования системы международной информационной безопасности или по иным аспектам проблемы.
Представляется важным обсудить и возможные механизмы взаимодействия региональных систем обеспечения международной информационной безопасности. Как уже отмечалось, основной проблемой обеспечения международной информационной безопасности является доверие между государствами. В силу различных исторических причин уровень этого доверия в отношении различных государств может существенно отличаться. Формально этот уровень доверия выражается в образовании межгосударственных организаций, связанных между собой общими целями, взглядами на современные проблемы и подходы к их решению. Проблемы обеспечения международной информационной безопасности применительно к таким группам государств рассматриваются в рамках НАТО, ШОС, ОДКБ и других региональных организаций.
Представляется возможным в целях укрепления доверия между данными организациями проведение тех или иных совместных мероприятий, например, конференций или обмен информацией по вопросам, представляющим взаимный интерес.
Перечень терминов, требующих закрепления в международных правовых актах по обеспечению международной информационной безопасности, определяется, прежде всего, содержанием данных актов. Так, в Соглашении между правительствами государств-членов ШОС закреплено 13 терминов.
Представляется, что к числу терминов, с обсуждения которых целесообразно начать данную работу, следует отнести следующие: «информационную безопасность», «кибербезопасность», «компьютерную безопасность», «сетевую безопасность», «коммуникационную безопасность», «электронную безопасность».
Все они в той или иной степени являются базовыми для обсуждения рассматриваемой тематики.
Исходя из изложенного, можно сделать вывод о том, что важным шагом в направлении выполнения рассматриваемой задачи может явиться начало обсуждения поставленных проблемных вопросов.
Именно данной теме посвящен наш круглый стол. Надеюсь, мы все реалисты и не питаем иллюзий, что в ходе нашего заседания будут найдены ответы на все вопросы. Конечно этого не будет. Но мы имеем прекрасную возможность обменяться мнениями по этим вопросам. Давайте попытаемся ее использовать для укрепления нашего взаимопонимания.
Ключевые слова
национальная безопасность / информационное пространство / информационное общество / информационные технологии / международная информационная безопасность / критическая информационная инфраструктура / государственная политика Российской Федерации / персональные данные / облачные технологии / national security / Information space / information society / information technology / / critical information infrastructure / the state policy of the Russian Federation / personal data / cloud technologiesАннотация научной статьи по праву, автор научной работы - Т.А. Полякова, Е.В. Акулова
Предметом исследования является процесс формирования правовой системы обеспечения международной информационной безопасности , а также системы информационной безопасности в рамках законодательства Российской Федерации. Актуальность указанной темы обусловлена высокими темпами развития глобального информационного пространства и информатизации всех сфер жизнедеятельности общества, а также непростой политической ситуацией, сложившейся на мировой арене. Все это в совокупности способствует появлению новых вызовов и угроз информационной безопасности, проблему предотвращения которых можно отнести к числу наиболее серьезных вопросов как национальной, так и международной безопасности. Неуклонное нарастание таких угроз вызывает необходимость построения эффективной системы МИБ, совершенствования национального законодательства в данной области, проведения научных исследований. В связи с этим авторы анализируют тенденции развития законодательства и государственной политики в области обеспечения информационной безопасности, а также обозначают наиболее актуальные проблемы и вопросы, подлежащие научному исследованию. Целью данного научного исследования является формирование практических и теоретических предложений при построений правовой системы МИБ и модернизации правовой системы информационной безопасности Российской Федерации. Достижению поставленной цели способствовали: проведение анализа формирования и развития правовой системы МИБ в современных политических условиях, анализ развития национального законодательства Российской Федерации в области информационной безопасности, выявление правовых проблем и неопределенностей, оказывающих влияние на успешное формирование системы МИБ и модернизации законодательства Российской Федерации в области информационной безопасности, а также формулировка на основе проведенного анализа ряда предложений, способствующих успешной реализации государственной политики Российской Федерации в области МИБ. Методологическую основу исследования составляют общенаучный метод познания, дедуктивный, сравнительно-правовой, формально-юридический методы и метод системного анализа. Одним из основных выводов научной статьи является необходимость расширения договорно-правовой базы межгосударственного сотрудничества, а также разработки общих правил применения норм в информационной сфере, создание единого для участников межгосударственных образований подхода в области правового регулирования - гармонизация и унификация законодательства государств-членов союзных государств, интеграция в законодательство Российской Федерации рекомендаций, закрепленных в международных документах.
Похожие темы научных работ по праву, автор научной работы - Т.А. Полякова, Е.В. Акулова
-
Организационно-правовое обеспечение международной и национальной информационной безопасности: опыт Китайской Народной Республики
2017 / Зверянская Лариса Павловна -
Информационная безопасность РФ: в поиске новых партнеров
2018 / Хижняк Мария Владимировна -
Виртуальная реальность: концепция угроз информационной безопасности сша и её международная составляющая
2014 / Батуева Елена Владимировна -
Форсайт-сессия "информационная безопасность в XXI веке: вызовы и правовое регулирование"
2018 / Полякова Татьяна Анатольевна, Минбалеев Алексей Владимирович, Наумов Виктор Борисович -
Информационная безопасность государства и граждан в нем: ключевые компоненты и группы интересов
2017 / Нежельский Александр Александрович -
Новые разновидности угроз международной информационной безопасности
2016 / Казарин Олег Викторович, Скиба Владимир Юрьевич, Шаряпов Ринат Абдулберович -
Инициативы евразийских государств по обеспечению международной и региональной информационной безопасности
2015 / Ступаков Валерий Иванович -
Вопросы правового обеспечения формирования информационного общества в России в условиях глобализации
2014 / Химченко Алексей Игоревич -
Анализ внешнеполитических инициатив РФ в области международной информационной безопасности
2014 / Зиновьева Елена Сергеевна
The subject matter of this article is the process of forming legal system of international information security and information security within the framework of the RF legislation. The relevance of this topic is due to the fast development of the global information space and the Information system development in all spheres of society, as well as the challenging political situation in the world, which contributes to the emergence of challenges and threats to information security. The steady increase in such threats is the need to build an effective system of international information security , improvement of national legislation in this field. In this context, the authors examine the trends in the development of legislation, public policy in the field of information security, and identify the most topical problems and issues of scientific research. The purpose of this research is shaping the system of international information security and modernization of Russian law in the field of information security, and making up a number of provisions to facilitate the implementation of public policy of the Russian Federation in the field of information security. The methodological basis of scientific methods of knowledge include: deductive, comparative legal, formal-legal techniques and methods of system analysis. One of the main conclusions of the paper is the need to expand the legal framework of international cooperation as well as the development of common rules of standards in the field of information, creation of a single participants interstate formations approach in the field of legal regulation - harmonization and unification of legislation of the members of union states, integration to the RF legislation of the recommendations set out in international instruments.
Текст научной работы на тему «Развитие законодательства в области обеспечения информационной безопасности: тенденции и основные проблемы»
Развитие законодательства в области обеспечения информационной безопасности: тенденции и основные проблемы
Т.А. Полякова
профессор Российского государственного университета правосудия, заведующая сектором информационного права Института государства и права РАН, доктор юридических наук, заслуженный юрист Российской Федерации. Адрес: 117418, Российская Федерация, Москва, Новочерёмушкинская ул., 69. E-mail: [email protected]
аспирантка кафедры информационного права, информатики и математики Всероссийского государственного университета юстиции. Адрес: 117638, Российская Федерация, Москва, ул. Азовская, 2/1. E-mail: [email protected]
H=UI Аннотация
Предметом исследования является процесс формирования правовой системы обеспечения международной информационной безопасности, а также системы информационной безопасности в рамках законодательства Российской Федерации. Актуальность указанной темы обусловлена высокими темпами развития глобального информационного пространства и информатизации всех сфер жизнедеятельности общества, а также непростой политической ситуацией, сложившейся на мировой арене. Все это в совокупности способствует появлению новых вызовов и угроз информационной безопасности, проблему предотвращения которых можно отнести к числу наиболее серьезных вопросов как национальной, так и международной безопасности. Неуклонное нарастание таких угроз вызывает необходимость построения эффективной системы МИБ, совершенствования национального законодательства в данной области, проведения научных исследований. В связи с этим авторы анализируют тенденции развития законодательства и государственной политики в области обеспечения информационной безопасности, а также обозначают наиболее актуальные проблемы и вопросы, подлежащие научному исследованию. Целью данного научного исследования является формирование практических и теоретических предложений при построений правовой системы МИБ и модернизации правовой системы информационной безопасности Российской Федерации. Достижению поставленной цели способствовали: проведение анализа формирования и развития правовой системы МИБ в современных политических условиях, анализ развития национального законодательства Российской Федерации в области информационной безопасности, выявление правовых проблем и неопределенностей, оказывающих влияние на успешное формирование системы МИБ и модернизации законодательства Российской Федерации в области информационной безопасности, а также формулировка на основе проведенного анализа ряда предложений, способствующих успешной реализации государственной политики Российской Федерации в области МИБ. Методологическую основу исследования составляют общенаучный метод познания, дедуктивный, сравнительно-правовой, формально-юридический методы и метод системного анализа. Одним из основных выводов научной статьи является необходимость расширения договорно-правовой базы межгосударственного сотрудничества, а также разработки общих правил применения норм в информационной сфере, создание единого для участников межгосударственных образований подхода в области правового регулирования - гармонизация и унификация законодательства государств-членов союзных государств, интеграция в законодательство Российской Федерации рекомендаций, закрепленных в международных документах.
Е.В. Акулова
Ключевые слова
национальная безопасность, информационное пространство, информационное общество, информационные технологии, международная информационная безопасность, критическая информационная инфраструктура, государственная политика Российской Федерации, персональные данные, облачные технологии.
Библиографическое описание: Полякова Т.А., Акулова Е.В. Развитие законодательства в области обеспечения информационной безопасности: тенденции и основные проблемы // Право. Журнал Высшей школы экономики. 2015. № 3. С. 4-17
JEL: К 10; УДК: 349
Интенсивность развития информационных технологий при переходе человечества на кардинально новую стадию развития - эпоху глобального информационного общества, внедрение во все сферы жизнедеятельности человека такого феноменального изобретения как Интернет, приводит к возникновению новых вызовов и угроз, связанных с противоправным использованием достижений в области информационных технологий. В связи с этим актуальность проблем обеспечения информационной безопасности как на национальном уровне в рамках отдельных государств, так и международной информационной безопасности (далее - МИБ), в настоящее время признается всем мировым сообществом. В условиях глобализации и информационного развития общества, как справедливо отмечает И.Л. Бачило, усиливаются импульсы активизации международного права. Крепнет идея формирования планетарного права - выработки и обязательности соблюдения всеобщих правовых норм1.
Кроме того, глобализация и широко раскинувшиеся по всему миру сети «паутины-Интернета» размывают государственные границы. Информационное пространство сегодня не ограничено территорией только одного государства, объединений государств и даже целых континентов, что вызывает необходимость выработки кардинально новых подходов к правовому регулированию общественных отношений, возникающих в настоящее время во всех сферах жизнедеятельности.
В Российской Федерации государственная политика в области обеспечения международной информационной безопасности нашла отражение в документе стратегического характера, в котором определены основные угрозы в области МИБ, цели, задачи и приоритетные направления государственной политики в указанной сфере. Таким документом стратегического планирования являются Основы государственной политики в области обеспечения международной информационной безопасности до 2020 года2 (далее - Основы государственной политики).
Учитывая многоаспектность и глобальность понятия МИБ, важно определить, что оно в себя включает. В указанном документе содержится понятие МИБ - это состояние глобального информационного пространства, при котором исключены возможности нарушения прав личности, общества и прав государства в информационной сфере, а также деструктивного и противоправного воздействия на элементы национальной критической информационной инфраструктуры.
Бачило И.Л. Информационное право: Учебник для магистров. М. : Изд-во Юрайт, 2013. 564 с. Утв. Президентом Российской Федерации 24 июля 2013 г. № Пр-1753 // СПС КонсультантПлюс.
Правовая мысль: история и современность
При этом особенно важно отметить, что цель государственной политики Российской Федерации заключается в содействии установлению международного правового режима, направленного на создание условий для формирования системы МИБ. Таким образом, очевидна актуальность развития международного информационного права как части системы международного права. Одной из основных задач, способствующих достижению указанной цели, является формирование системы МИБ не только в глобальном масштабе, но и на двустороннем, многостороннем, региональном уровнях на основе применения международно-правовых механизмов и средств.
В целях реализации намеченного в Основах государственной политики курса развития международных отношений в области информационной безопасности в 20142015 годах продолжалась активная работа в многостороннем и двустороннем форматах, и несмотря на введение европейскими странами санкционной политики в отношении России, характеризующейся отменой и отложением ряда намеченных консультаций по вопросам информационной безопасности, Россия продолжает активное взаимодействие по вышеназванным направлениям в рамках таких международных организаций, как БРИКС, ШОС, ОДКБ, СНГ.
В условиях сложных политических отношений, складывающихся с США и странами Европы, на первый план выходит необходимость укрепления взаимоотношений в иных международных форматах, а в век высоких технологий, характеризующийся возможностью ведения войны и в киберпространстве, особенное внимание при заключении союзных договоренностей следует уделять вопросу обеспечения МИБ. Например, согласно Концепции участия России в объединении БРИКС, утвержденной Президентом Российской Федерации 9 февраля 2013 г., одной из основных целей сотрудничества с го-сударствами-участниками БРИКС по вопросам международной безопасности является сотрудничество в интересах обеспечения МИБ, а также использование возможностей БРИКС для продвижения инициатив в этом направлении в рамках различных международных форумов и организаций, прежде всего ООН, укрепление в формате БРИКС сотрудничества в области противодействия использованию информационно-коммуникационных технологий в военно-политических, террористических и криминальных целях, а также целях, противоречащих обеспечению мира, стабильности и безопасности3.
В целях реализации намеченного в Концепции политического курса в июле 2014 г. благодаря инициативе России в Итоговой декларации 6-го саммита БРИКС (г. Форталеза) закреплены два раздела, посвященные вопросам МИБ и интернационализации управления Интернетом. Государства-участники отразили намерение сотрудничать друг с другом в выявлении возможностей для осуществления совместных действий по решению общих проблем безопасности в сфере использования информационно-коммуникационных технологий, а также приняли во внимание и отметили российское предложение о необходимости выработки консолидированной позиции по данному вопросу, совместной разработке соглашения между странами БРИКС о сотрудничестве в области обеспечения международной информационной безопасности. Однако декларативное отражение стремления государств-участников БРИКС заключить международное соглашение по вышеназванному вопросу не должно являться конечной точкой, в связи с чем открывается широкий фронт работ в организационной и правовой сферах по выработке согласованной позиции, которая бы удовлетворяла интересам каждой из сторон соглашения.
3 Концепция участия Российской Федерации в объединении БРИКС, утв. Президентом Российской Федерации // СПС КонсультантПлюс.
ТА. Полякова, Е.В. Акулова. Развитие законодательства в области обеспечения информационной... С. 4-17
В форматах таких международных организаций как ШОС, ОДКБ, СНГ и др. в разное время были также заключены многосторонние международные соглашения в области обеспечения МИБ (Соглашение между правительствами государств-членов Шанхайской организации о сотрудничестве в области обеспечения международной информационной безопасности4 (Екатеринбург, 16 июня 2009 г.), Положение о сотрудничестве государств-членов Организации Договора о коллективной безопасности в сфере обеспечения информационной безопасности5 (Москва, 10 декабря 2010 г.), подписано распоряжение Правительства Российской Федерации от 15 ноября 2013 г. № 2120-р о подписании Соглашения о сотрудничестве государств-участников Содружества Независимых Государств в области обеспечения информационной безопасности6, в 2014 г. велась активная работа по содействию вступлению в силу данного Соглашения, а 4 июня 2015 г. оно вступило в силу для Российской Федерации, Республики Беларусь и Республики Таджикистан.
Еще одним итогом реализации государственной политики в области международной информационной безопасности стало представление на 69-й сессии Генеральной Ассамблеи ООН от имени государств-членов ШОС в качестве официального документа ООН обновленной редакции Правил поведения в области обеспечения международной информационной безопасности (далее - Правила поведения) - документа, являющегося серьезным шагом на пути формирования культуры информационной безопасности, новая редакция которого отличается от концепций, предполагающих регулирование кибервойн, миротворческим характером, нацеленным на предотвращение конфликтов в информационной пространстве.
Обновленная редакция «Правил поведения» отличается от предыдущей расширенным разделом о правах человека, наличием отдельного пункта, посвященного вопросам интернационализации управления сетью Интернет, а также вниманием к проблематике «наращивания потенциала» в сфере информационной безопасности и оказания развивающимся странам содействия в преодолении «цифрового разрыва»7.
Немаловажным аспектом в вопросе обеспечения информационной безопасности является то, что формирование глобального информационного общества и стремительное развитие интеграции влекут за собой необходимость расширения договорно-правовой базы межгосударственного сотрудничества. Способствовать разработке общих правил применения норм в информационной сфере, в первую очередь, может создание единого для участников межгосударственных образований подхода в области правового регулирования - гармонизация и унификация законодательства государств-членов союзных государств. Подтверждением актуальности такого вопроса является позиция И.Л. Бачило: «...главной задачей при обеспечении отношений и информационного взаимодействия в отдельно взятом государстве, в союзном государстве, в союзе государств или иной форме согласования интересов остается проблема гармонизации законодательства стран-участниц по тем позициям, которые определяют развитие экономики, социальной и культурной жизни, управления общими делами»8.
4 Бюллетень международных договоров. 2012. № 1. С. 13-21.
5 Решение о Положении о сотрудничестве государств-членов Организации Договора о коллективной безопасности в сфере обеспечения информационной безопасности // СПС КонсультантПлюс.
6 Официальный Интернет-портал правовой информации // http://www.pravo.gov.ru (дата обращения: 01.07.2015)
7 Официальный сайт Министерства иностранных дел Российской Федерации // http://www.mid.ru (дата обращения: 01.07.2015)
8 Бачило И.Л. Указ.соч.
Правовая мысль: история и современность
Осознавая потребность приведения к единообразию законодательных баз союзных государств в рамках организации СНГ на 38-м пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ 23 ноября 2012 г. были приняты Рекомендации по совершенствованию и гармонизации национального законодательства госу-дарств-участников СНГ в сфере обеспечения информационной безопасности9. Целью Рекомендаций является установление общих подходов государств-участников СНГ к правовому регулированию обеспечения информационной безопасности, укреплению и обеспечению сбалансированности национальных правовых систем в условиях информатизации общества, а также направленные на развитие международного информационного обмена, обеспечение безопасности информационных условий экономического и таможенного сотрудничества, на стимулирование использования информационнокоммуникационных технологий в социальной и культурной сфере.
Постановлением Парламентской Ассамблеи Организации Договора о коллективной безопасности от 27 ноября 2014 г. № 7-6 (Санкт-Петербург) были приняты аналогичные вышеуказанным Рекомендации по сближению и гармонизации законодательства государств-членов ОДКБ.
Принятие данных актов свидетельствует, что в эпоху формирования глобального информационного общества государствам следует развивать свой правовой потенциал в области обеспечения информационной безопасности ориентируясь на достижения и успехи более развитых в этой области стран, а государствам, состоящим в союзных организациях, также следует приводить национальную законодательную базу к общему знаменателю, упрощая тем самым сотрудничество и взаимодействие в информационной сфере на трансграничном уровне. По нашему мнению, верным является утверждение, что в современных странах первоочередное значение приобретает интеграция национального и международного информационного законодательства, поскольку применение правовых норм только своей страны может привести к частичной или полной изоляции государства на международной арене10. В связи с этим полагаем, что упомянутые Рекомендации должны учитываться при разработке новых документов стратегического планирования в области информационной безопасности в РФ, поскольку действующая в настоящее время Доктрина информационной безопасности была утверждена 9 сентября 2000 г.
Важным шагом международно-правового сотрудничества в области формирования общих подходов к проблематике МИБ стали заключенные между Правительством Российской Федерации и Правительством Республики Куба двустороннее Соглашение о сотрудничестве в области обеспечения МИБ11 (Гавана, 11 июля 2014 г.), вступившее в силу 2 января 2015 г., а также аналогичное Соглашение с Правительством Республики Беларусь12 (Москва, 25 декабря 2013 г.), вступившее в силу 27 февраля 2015 г. Государствами-участниками обозначены основные угрозы МИБ, определены основные направления, общие принципы, формы и механизмы сотрудничества, что, несомненно, выводит на
9 Информационный бюллетень. Межпарламентская Ассамблея государств-участников СНГ. 2013. № 57 (часть 2). С. 162-179.
10 Булгакова Е.С, Акимов В.С. Материалы международной научно-практической конференции «Актуальные вопросы правового регулирования использования информационных ресурсов в сети «Интернет». М.: РПА Минюста России, 2014. С. 68.
11 Официальный Интернет-портал правовой информации // http://pravo.gov.ru (дата обращения: 14.01.2015)
ТА. Полякова, Е.В. Акулова. Развитие законодательства в области обеспечения информационной... С. 4-17
новый уровень отношения государств в данной сфере и вместе с тем создает нормативно-правовую базу для практического взаимодействия.
Но особенно следует отметить важность развития международно-правовых отношений в данной сфере с КНР. 8 мая 2015 г., руководствуясь положениями Договора о добрососедстве, дружбе и сотрудничестве между Российской Федерацией и Китайской Народной Республикой13 от 16 июля 2001 г., подписанного в Москве, между Правительствами Российской Федерации и Китайской Народной Республики также заключено Соглашение о сотрудничестве в области МИБ14, которое вступит в силу после соблюдения всех необходимых процедур, предусмотренных данным Соглашением.
В вышеуказанном Соглашении государства определили особое значение совместной работы в рамках ШОС, а также необходимость дальнейшего углубления доверия и развития взаимодействия в области использования информационно-коммуникационных технологий, отметили стремление формировать многостороннюю, демократическую и прозрачную международную систему управления информационно-коммуникационной сетью Интернет в целях реальной интернационализации управления сетью Интернет и обеспечения равных прав государств на участие в этом процессе, включая демократическое управление основными ресурсами информационно-коммуникационной сети Интернет и их справедливое распределение. Как справедливо отмечает М. Касенова, сегодня Интернет интегрирует материальные, финансовые, интеллектуальные, социальные и иные ресурсы, влияет на национальные и международные процессы и обеспечивает коммуникационные связи в планетарном масштабе, в связи с чем вопросы управления Интернетом не могут рассматриваться и решаться вне глобального контекста15.
Вопрос об интернационализации управления Интернетом уже давно обсуждается, носит дискуссионный характер и по-разному воспринимается - от полного неприятия до всесторонней поддержки. В связи с этим следует отметить особое значение продвижения инициатив России, связанных с принятием в ООН проекта Конвенции об обеспечении МИБ, концепция которой стала результатом многолетней работы российских экспертов в области МИБ во взаимодействии с нашими зарубежными коллегами. В современных политических условиях необходимо закрепить в международном правовом акте положения концепции Конвенции, определяющие правила поведения в киберпространстве, а также касающиеся интернационализации системы управления Интернетом. Требует международно-правового закрепления принцип невмешательства в информационное пространство друг друга и право каждого государства устанавливать суверенные нормы и управлять в соответствии с национальными законами своим информационным пространством, обязанность государств защищать свободу слова в Интернете16.
Представляется, что не только указанные международные правовые документы свидетельствуют об определенных шагах, направленных на реализацию государственной политики в данной области, но и развитие национального законодательства в Россий-
13 Бюллетень международных договоров. 2002. № 8. С. 56-62.
14 Соглашение между Правительством Российской Федерации и Правительством Китайской Народной Республики о сотрудничестве в области обеспечения международной информационной безопасности // СПС КонсультантПлюс.
15 Касенова М.Б. Трансграничное управление Интернетом: основные термины и понятия // Юридический мир. 2014. № 2 С. 58-63.
16 Официальный сайт Совета Безопасности Российской Федерации // http://www.scrf.gov.ru/ documents/6/112.html (дата обращения: 01.07.2015)
Правовая мысль: история и современность
ской Федерации, в котором в 2014-2015 гг. уже произошли значительные изменения, направленные на его модернизацию.
Сегодня в России базовым документом по планированию развития системы обеспечения национальной безопасности, в котором излагаются порядок действий и меры по обеспечению национальной безопасности, определяющим, что национальная безопасность страны существенным образом зависит в том числе и от обеспечения информационной безопасности, является Стратегия национальной безопасности Российской Федерации до 2020 года17. Вместе с тем в сфере информационной безопасности основным политико-правовым документом, представляющим совокупность официальных взглядов на цели, задачи, принципы и направления обеспечения информационной безопасности России, как уже отмечалось, остается Доктрина информационной безопасности Российской Федерации18. В настоящее время реализуется курс на формирование и развитие информационного общества, определенный в Стратегии развития информационного общества Российской Федерации19.
В 2013 г. распоряжениями Правительства России утверждены планы мероприятий, так называемые «дорожные карты» «Повышение качества регуляторной среды для бизнеса» (11.06.2013 № 953-р (в ред. от 17.08.2013)) и «Развитие отрасли информационных технологий» 20.07.2013 № 1268-р, в которых также отражены актуальные организационно-правовые вопросы, связанные с обеспечением информационной безопасности. Следует отметить, что впервые не распоряжением, а постановлением Правительства России от 15 апреля 2014 г. № 313 была утверждена новая редакция государственной программы «Информационное общество»20, в которой особое внимание уделено вопросам безопасности в информационном обществе.
Сегодня уже не вызывает сомнения и актуальность реализации мероприятий по созданию отечественных операционных систем, защищенных технологий хранения и обработки информации. Очевидно, что ужесточение геополитического противоборства вызывает серьезные угрозы и в сфере информационной безопасности. В настоящее время в государственных органах власти активно обсуждаются вопросы снижения зависимости функционирования сети Интернет от элементов его инфраструктуры, которые находятся под управлением зарубежных компаний и обусловлены проводимой ими политикой.
В целях противодействия угрозам информационной безопасности России при использовании информационно-телекоммуникационной сети Интернет Указом Президента Российской Федерации от 22 мая 2015 г. № 26021 предписано преобразовать сегмент международной компьютерной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, находящийся в ведении Федеральной службы охраны, в российский государственный сегмент сети Интернет, обеспечивающей подключение к сети Интернет предназначенных для взаимодействия с ней государственных информационных систем и информацион-
18 Утв. Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895 // Российская газета. 2000. № 187.
19 Утв. Президентом Российской Федерации 7 февраля 2008 г. № Пр-212 // Российская газета. 2008. № 34.
20 Утв. постановлением Правительства Российской Федерации от 15.04.14 № 313 / Официальный Интернет-портал правовой информации // http://www.pravo.gov.ru (дата обращения: 24.04.2014)
21 СЗ РФ. 2015. № 21. Ст. 3092.
ТА. Полякова, Е.В. Акулова. Развитие законодательства в области обеспечения информационной... С. 4-17
но-телекоммуникационных сетей государственных органов, а также информационных систем и информационно-телекоммуникационных сетей организаций, созданных для выполнения задач, поставленных перед федеральными государственными органами. Данным Указом также утверждается порядок подключения информационных систем и информационно-телекоммуникационных сетей к Интернету и размещения (публикации) в ней информации через российский государственный сегмент Интернета.
Одной из проблем обеспечения информационной безопасности до недавнего времени оставалось размещение на зарубежных серверах сайтов государственных органов и учреждений, муниципальных образований, что в свою очередь не исключает вероятности уничтожения, блокировки, изменения информации на официальных сайтах, которые не могут быть оперативно устранены и останутся фактически безнаказанными22. На решение указанной проблемы направлены вступившие с 1 июля 2015 г. в силу изменения в ст. 13, 14 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»23 (далее - Федеральный закон № 149-ФЗ), согласно которым технические средства информационных систем, используемых государственными органами власти, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или учреждениями, должны размещаться на территории России. С 1 сентября 2015 г. вступают в силу изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»24, предусматривающие, что запись, накопление и хранение персональных данных россиян разрешаются только на территории Российской Федерации.
Также пристального внимания в целях обеспечения информационной безопасности заслуживают вопросы импортозамещения. В условиях риска введения масштабных санкций, которые могут быть связаны с остановкой предоставления услуг по поддержке программного обеспечения, используемого в Российской Федерации, Минкомсвязи России утвердил План импортозамещения программного обеспечения25, в соответствии с которым отечественному программному обеспечению при осуществлении закупок за государственный счет предполагается предоставление преференций. Однако наряду с созданием отечественных аналогов западной продукции, по нашему мнению, особенного внимания заслуживают вопросы разработки и создания нового и перспективного программного обеспечения на основе имеющегося научно-технического потенциала страны, и обеспечения конкурентоспособности отечественных разработок на мировом рынке, что возможно при непосредственном участии России в разработке международных стандартов, а также на основе кооперации с зарубежными ИТ-компаниями союзных государств БРИКС и ШОС.
Одним из приоритетных направлений российской государственной политики в области обеспечения информационной безопасности, связанных с преодолением негативных последствий санкционной политики в отношении России, является создание национальной системы платежных карт (далее - НСПК). Новым импульсом для продвижения и реализации этого проекта послужил инцидент, произошедший в финансово-кредитной сфере в марте 2014 г. и связанный с блокировкой без предварительного
22 Пояснительная записка «К проекту Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации // СПС КонсультантПлюс.
23 Российская газета. 2006. № 165.
Правовая мысль: история и современность
уведомления международными платежными системами VISA и MasterCard расчетов по картам четырех российских банков. Уже в феврале 2015 г. НСПК начала работу, обозначенную подключением к ней пяти первых операторов. Несмотря на то, что имеются определенные проблемы, которые требуют дальнейшей проработки (преимущественная доля программного обеспечения импортного производства, отсутствие ряда положений по реализации мер по борьбе с киберпреступностью), нельзя не отметить наметившуюся в связи с принятием Федерального закона от 27 июня 2006 г. № 161-ФЗ «О национальной платежной системе»26 позитивную тенденцию в области обеспечения информационной безопасности банковской сферы.
Важно отметить, что Центральный банк России наряду с федеральными органами исполнительной власти, осуществляющими управление в области обеспечения безопасности, указанным Федеральным законом наделен правом нормативного регулирования в области информационной безопасности. Банком России, в свою очередь, на этапе построения НСПК были предъявлены особые требования к информационной безопасности национальной платежной системы (предъявление определенных условий при использовании иностранного оборудования), поскольку в информационной платежной системе ЦБ России, а также информационных платежных системах кредитно-финансовых организаций хранятся и обрабатываются значительные объемы информации, прекращение или нарушение функционирования которых может повлечь негативные последствия для государства и общества. Безусловно, совокупность таких систем можно отнести к критической информационной инфраструктуре.
В связи с этим особенного внимания заслуживает разработка и принятие законопроекта «О безопасности критической информационной инфраструктуры», направленного на создание правового фундамента для регулирования этого вопроса, что будет способствовать защите критической информационной инфраструктуры от ущерба, который может повлечь за собой серьезные и даже катастрофические последствия.
С 2014 г. в нормотворческой деятельности по реализации государственной политики в области обеспечения информационной безопасности наметились и другие положительные тенденции, такие как внесение изменений в отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей. Так, в 2014 г. в Федеральный закон № 149-ФЗ внесены в качестве дополнения новые статьи 10.1, 10.2 и 15.4, в соответствии с которыми определяются перечень обязанностей организатора распространения информации в сети Интернет, особенности распространения блогером общедоступной информации, а также порядок ограничения доступа к информационному ресурсу организатора распространения информации в сети Интернет, что в свою очередь способствует обеспечению информационной безопасности пользователей Интернета27.
Кроме того, согласно статье 15.1 Закона об информации в целях ограничения доступа к сайтам в сети Интернет, содержащим информацию, распространение которой в России запрещено, создана автоматизированная информационная система «Единый реестр доменных имен, указателей страниц сайтов в сети Интернет и сетевых адресов, позволяющих идентифицировать сайты в сети Интернет, содержащие информацию, распространение которой в Российской Федерации запрещено». В указанный реестр в соответствии с критериями и правилами, утвержденным Правительством России, включаются домен-
26 Российская газета. 2011. № 139.
27 СЗ РФ. 2006. № 31 (1 ч.). Ст. 3448.
ТА. Полякова, Е.В. Акулова. Развитие законодательства в области обеспечения информационной... С. 4-17
ные имена и (или) указатели страниц сайтов в сети Интернет, содержащие информацию, распространение которой в России запрещено, а также сетевые адреса, позволяющие идентифицировать сайты в сети Интернет, содержащие информацию, распространение которой в России запрещено. Полномочия по созданию, формированию и ведению реестра сегодня возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор.
Важно отметить, что с 1 мая 2015 г. вступила в силу ст. 15.6, определяющая порядок ограничения доступа к сайтам в сети Интернет, на которых неоднократно и неправомерно размещалась информация, содержащая объекты авторских и (или) смежных прав, или информация, необходимая для их получения с использованием информационно-телекоммуникационных сетей, в том числе сети Интернет. С 1 сентября 2015 г. начинает действовать ст. 15.5 указанного Федерального закона, устанавливающая порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства России в области персональных данных. Редакцией этой статьи предусматривается введение ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, а также создание Роскомнадзором автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных».
Такие изменения обусловлены потребностью в обеспечении безопасности персональных данных, используемых в различных информационных системах. Важно отметить, что в России завершена почти семилетняя процедура, связанная с ратификацией одного из актуальнейших международных правовых актов в области защиты прав человека в процессе использования современных информационно-коммуникационных технологий - Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.). Таким образом, сделан значительный шаг на пути к полноформатному участию России в усилиях государств-членов Совета Европы по укреплению безопасности человека в киберпространстве и общеевропейском правовом пространстве. Однако процесс модернизации указанной Конвенции, в котором Россия задействована в качестве полноправного участника, все еще продолжается, чем и вызвано динамичное развитие подзаконных актов Правительства России и федеральных органов исполнительной власти.
Еще одной актуальной проблемой в области информационного права является защита авторских и смежных прав. Как верно отмечено в работе Б.Н. Мирошникова, «авторское право, действующее сегодня повсеместно в мировом масштабе (с различными национальными вариациями) складывалось веками в развитых странах, и только-только зарождается в развивающихся. Все бы ничего, но Интернет вывел всех на единый уровень плоскости мирового информационного пространства и явился источником большой мировой проблемы в 21-м веке... Благодаря Интернету убытки правообладателей астрономически огромны - в литературе, музыке, программном обеспечении и так далее»28.
Вопросы, связанные с попыткой защитить субъектов авторских и смежных с ними прав от незаконного использования результатов их деятельности отражены в новой ст. 15.2 (введена в действие в 2013 г.) Закона об информации, закрепляющей порядок ограничения доступа к информации, распространяемой с нарушением исключительных прав на фильмы, в том числе кинофильмы, телефильмы, согласно которой правооб-
28 Мирошников Б.Н. Сетевой фактор. Интернет и общество. Взгляд. М.: Инфорос, 2012. 208 с.
Правовая мысль: история и современность
ладатель в случае обнаружения фильмов (кинофильмов, телефильмов) в информационно-телекоммуникационных сетях, включая сеть Интернет, которые распространяются без его разрешения или иного законного основания, вправе обратиться в Роскомнадзор с заявлением о принятии мер по ограничению доступа к информационным ресурсам, распространяющим такие фильмы или информацию, на основании вступившего в силу судебного акта. Принятие таких изменений (так называемого «антипиратского закона») получило широкий отклик, а в процессе прохождения процедуры общественного обсуждения данного законопроекта активно вносились предложения по совершенствованию ст. 15.2 Закона об информации и расширению сферы ее действия. С 1 мая 2015 г. вступили в силу изменения, согласно которым ныне действующий порядок ограничения доступа к информации распространяется на все объекты авторских и смежных прав, кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии, а в новой ст. 15.7 Закона об информации предусмотрены внесудебные меры по предотвращению нарушения авторских и (или) смежных прав в информационно-телекоммуникационных сетях, в том числе сети Интернет, принимаемые по заявлению правообладателя.
В рамках данной статьи следует также отметить важность проблемы обеспечения информационной безопасности при использовании облачных вычислений и утверждения необходимых стандартов безопасности облачных сред и инструментов измерения уровня рисков и угроз. Правовые вопросы обеспечения информационной безопасности при использовании «облачных» технологий являются, несомненно, актуальными и, по нашему мнению, которое также поддерживается в монографии А.В. Морозова и Т.А. Поляковой, «заслуживают особого внимания, поскольку использование «облачных» вычислений становится все более популярным и выгодным, а сами «облачные» вычисления уже выделяются в отдельную область рынка информационных технологий. При этом очевидно, что пропорционально стремительному росту возможностей данных технологий и очевидным преимуществам использования данного вида технологий растет также количество новых рисков и угроз информационной безопасности технологического, организационного и правового характера. Это подтверждает и заявление, сделанное в конце 2012 г. экспертами компании Trend Micro, одного из лидирующих поставщиков комплексных средств защиты «облаков», что имеющиеся сегодня средства безопасности пока не способны защитить данные в «облачных» инфраструктурах»29.
Особого внимания заслуживает широкое применение информационно-коммуникационных технологий в судебной системе, в частности, использование «облачных вычислений», что предусмотрено Федеральной целевой программой «Развитие судебной системы России на 2013-2020 годы», утвержденной Правительством России в декабре 2012 г. В настоящее время активно идет реформа судебной системы, готовятся изменения в процессуальное законодательство, связанные с использованием электронных документов и применением электронной подписи (соответствующие изменения внесены Федеральным конституционным законом от 8 июня 2015 г. № 5-ФКЗ «О внесении изменений в Федеральный конституционный закон «О Конституционном Суде Российской Федерации»).
Однако следует признать, что основным сдерживающим фактором при использовании облачных технологий в деятельности государственных органов, а также более широкого их распространения в целом, является недостаточное урегулирование основных правил использования облачных технологий, в частности, касающихся обеспе-
29 Морозов А.В., Полякова Т.А. Организационно-правовое обеспечение информационной безопасности. М.: РПА Минюста России, 2013. 276 с.
ТА. Полякова, Е.В. Акулова. Развитие законодательства в области обеспечения информационной... С. 4-17
чения безопасности и конфиденциальности информации, передаваемой поставщику облачных услуг (в законодательстве не закреплены нормы, определяющие административную и гражданско-правовую ответственность поставщика облачных услуг, а также ответственность руководителей и работников организаций, оказывающих облачные услуги). Указанные тенденции развития законодательства в области обеспечения информационной безопасности безусловно разнообразны и разноплановы, нередко находятся на стыке различных специальностей как в области права, так и информационных технологий и нуждаются в научных исследованиях, связанных с обеспечением информационной безопасности.
Еще одним серьезным направлением на пути к построению системы обеспечения информационной безопасности является подготовка высококвалифицированных кадров. В связи с этим представляется совершенно верным вывод, изложенный в статье Т.А. Поляковой и А.И. Химченко, что «наиболее целесообразными способами повышения уровня компетенций в Российской Федерации в сфере информационной безопасности являются целенаправленная подготовка высококвалифицированных специалистов в специализированных учебных заведениях, а также непрерывный процесс развития общих навыков грамотности, культуры при обращении со служебной и личной информацией (особое место занимают персональные данные) и трансграничности, а также пропагандой политики безопасности в указанной сфере»30.
Обеспечение перечисленных приоритетных, по мнению авторов, направлений обеспечения информационной безопасности составляет теоретическую и практическую основу для развития национального и международного информационного права, а также непосредственного формирования системы международной информационной безопасности.
1^1-1 Библиография
Бачило И.Л. Информационное право. 3-е изд.. М.: Юрайт, 2013. 564 с.
Бачило И.Л. Правовая платформа построения электронного государства // Информационное право. 2008. № 4. С. 41-45.
Булгакова Е.С, Акимов В.С. Интеграция национального и международного информационного законодательства // Материалы международной научно-практической конференции «Актуальные вопросы правового регулирования использования информационных ресурсов в сети «Интернет»». М.: РПА Минюста России, 2014. С. 67-71.
Касенова М.Б. Трансграничное управление Интернетом: основные термины и понятия // Юридический мир. 2014. № 2. С. 58-63.
Мирошников Б.Н. Сетевой фактор. Интернет и общество. М.: Инфорос, 2012. 208 с.
Морозов А.В., Полякова Т.А. Организационно-правовое обеспечение информационной безопасности: монография. М.: РПА Минюста России, 2013. 276 с.
Морозов А.В. Правовое обеспечение информационной безопасности. М.: РПА Минюста России,
Полякова Т.А. Совершенствование информационного законодательства в условиях перехода к информационному обществу // Журнал российского права. 2008. № 1. С. 62-69.
Полякова Т.А., Химченко А.И. Актуальные организационно-правовые вопросы трансграничной передачи персональных данных // «Право». Журнал Высшей школы экономики. 2013. № 1. С. 113-122.
30 Полякова Т.А., Химченко А.И. Особенности подготовки кадров в области организационно-правового обеспечения информационной безопасности» // Информационное право. 2013. № 3. С. 21-23.
Legal Thought: History and Modernity
Полякова Т.А., Химченко А.И. Особенности подготовки кадров в области организационно-правового обеспечения информационной безопасности // Информационное право. 2013. № 3 С. 21-23. Талимончик В.П. Всемирный саммит по информационному обществу в развитии международного информационного обмена // Информационное право. 2006. № 2. С. 3-6.
Терещенко Л.К. Модернизация информационных отношений и информационного законодатель-тва: монография. М.: Институт законодательства и сравнительного правоведения при Правительстве РФ, ИНФРА-М, 2013. 227 с.
Тихомиров Ю.А. Международно-правовые акты: природа и способы влияния // Журнал российского права. 2002. № 1 // http://www.center-bereg.ru/o5845.html (дата обращения: 01.05.2015) Федеральный справочник «Национальная безопасность России». Т.1. М.: Центр стратегического партнерства, 2014. 566 с.
Шерстюк В.П. Угроза международной информационной безопасности в условиях формирования глобального информационного общества и направления сотрудничества // Право и безопасность. 2010. № 4 (37). http://dpr.ru/pravo/pravo_33_8.htm (дата обращения: 01.05.2015)
The Development of Legislation in the Field of Information Security: Trends and Key Issues
’ i=l Tat’ana A. Polyakova
Professor, Moscow State University of Justice, Head, Information Law Centre, Institute of State and Law, Doctor of Juridical sciences, Merited Lawyer of the Russian Federation. Address: 69 Novocher-emushkinskaya Str., Moscow, 117418, Russian Federation. E-mail: [email protected]
Elena V. Akulova
Postgraduate student, Department of Information Law, Informatics and Mathematics, All-Russia State University of Justice. Address: 2/1 Azovskaya Str., Moscow, 117638, Russian Federation. E-mail: [email protected]
The subject matter of this article is the process of forming legal system of international information security and information security within the framework of the RF legislation. The relevance of this topic is due to the fast development of the global information space and the Information system development in all spheres of society, as well as the challenging political situation in the world, which contributes to the emergence of challenges and threats to information security. The steady increase in such threats is the need to build an effective system of international information security, improvement of national legislation in this field. In this context, the authors examine the trends in the development of legislation, public policy in the field of information security, and identify the most topical problems and issues of scientific research. The purpose of this research is shaping the system of international information security and modernization of Russian law in the field of information security, and making up a number of provisions to facilitate the implementation of public policy of the Russian Federation in the field of information security. The methodological basis of scientific methods of knowledge include: deductive, comparative legal, formal-legal techniques and methods of system analysis. One of the main conclusions of the paper is the need to expand the legal framework of international cooperation as well as the development of common rules of standards in the field of information, creation of a single participants interstate formations approach in the field of legal regulation - harmonization and unification of legislation of the members of union states, integration to the RF legislation of the recommendations set out in international instruments.
national security, Information space, information society, information technology, International information security, critical information infrastructure, the state policy of the Russian Federation, personal data, cloud technologies
Tatyana A. Polyakova, Elena V. Akulova. The Development of Legislation in the Field of Information Security... Р. 4-17
Citation: Polyakova T.A., Akulova E.V. (2015) The Development of Legislation in the Field of Information Security: Trends and Key Issues. Pravo. Zhurnal Vysshey shkoly ekonomiki, no 3, pp. 4-17 (in Russian)
1^1=1 References
Bachilo I.L. (2013) Informatsionnoe pravo . Moscow: Yurayt, 564 p. (in Russian) Bachilo I.L. (2008) Pravovaya platforma postroeniya elektronnogo gosudarstva . Informatsionnoe pravo, no 4, pp. 41-45.
Bulgakova E.S, Akimov V.S. (2014) Integratsiya natsional"nogo i mezhdunarodnogo informatsionnogo zakonodatel"stva. Materialy mezhdunarodnoy konferentsii . Moscow: Russian Legal Academy, pp. 67-71.
Kasenova M.B. (2014) Transgranichnoe upravlenie Internetom: osnovnye terminy i ponyatiya . Yuridicheskiy mir, no 2, pp. 58-63. Miroshnikov B.N. (2012) Setevoy faktor. Interneti obshchestvo. Vzglyad. . Moscow: Inforos, 208 p. (in Russian)
Morozov A.V., Polyakova T.A. (2013) Organizatsionno-pravovoe obespechenie informatsionnoy bezo-pasnosti: monografiya . Moscow: Russian Legal Academy, 276 p. (in Russian)
Morozov A.V. (2012) Pravovoe obespechenie informatsionnoy bezopasnosti: uchebnoye posobie . Moscow: Russian Legal Academy, 346 p. (in Russian) Polyakova T.A. (2008) Sovershenstvovanie informatsionnogo zakonodatel"stva v usloviyakh perekhoda k informatsionnomu obshchestvu . Zhurnal rossiyskogo prava, no 1, pp. 62-69.
Polyakova T.A., Khimchenko A.I. (2013) Aktual"nye organizatsionno-pravovye voprosy transgranichnoy peredachi personal"nykh dannykh . Pravo. Zhurnal Vysshey shkoly ekonomiki, no 1, pp. 113-122.
Polyakova T.A., Khimchenko A.I. (2013) Osobennosti podgotovki kadrov v oblasti organizatsionno-pravovogo obespecheniya informatsionnoy bezopasnosti . Informatsionnoe pravo, no 3, pp. 21-23.
Talimonchik V.P. (2006) Vsemirnyy sammit po informatsionnomu obshchestvu v razvitii mezhdunarodnogo informatsionnogo obmena [ International Summit on Information Society in the Development of the International Information Exchange]. Informatsionnoe pravo, no 2, pp. 3-6.
Tereshchenko L.K. (2013) Modernizatsiya informatsionnykh otnosheniy i informatsionnogo zakonodatel’stva: monografiya . Moscow: INFRA-M, 227 p. (in Russian)
Tikhomirov Yu.A. (2002) Mezhdunarodno-pravovye akty: priroda i sposoby vliyaniya . Zhurnal rossiyskogo prava, no 1. Available at: // http://www.center-bereg.ru/o5845.html (accessed: 01 May 2015).
Federal"nyy spravochnik. Natsional"naya bezopasnost" Rossii. (2014) T. 1 . Moscow: Tsentr strategicheskogo partnerstva. 566 p. (in Russain) Sherstyuk V.P. (2010) Ugroza mezhdunarodnoy informatsionnoy bezopasnosti v usloviyakh formirovaniya global"nogo informatsionnogo obshchestva i napravleniya sotrudnichestva . Pravo i bezopasnost’, no 4 (37). Available at: http://dpr.ru/pravo/pravo_33_8.htm (accessed: 01 May 2015)
