Правовые основы обеспечения безопасности

Правовые методы защиты информации служат основой легитимного (законного) построения ИС и использования информации, создания систем защиты ИС. В масштабах страны обеспечение информационной безопасности осуществляет государство. Государство создает необходимые условия в стране для безопасного использования современных информационных технологий в интересах государственных органов, различных организаций и отдельных граждан. Чтобы решить эту проблему, государство обязано:

• выработать государственную политику безопасности в информационной сфере;

• сформировать законодательство, регулирующее отношения в информационной сфере;

• создать иерархическую структуру государственных органов, вырабатывающих и проводящих в жизнь политику безопасности информационных технологий;

• создать систему стандартизации и технического регулирования, лицензирования и сертификации в области защиты информации;

• обеспечить приоритетное развитие отечественных защищенных информационных технологий;

• повышать уровень образования граждан в области информационных технологий и обеспечения информационной безопасности, воспитывать у них патриотизм и бдительность;

• обеспечить свободный доступ граждан к открытой информации;

• оградить граждан страны от информации, распространение которой запрещено нормативными правовыми актами РФ;

• установить ответственность граждан за нарушения законодательства в области информационных технологий.

Решение этих масштабных задач требует от государства прежде всего разработать и претворять в жизнь государственную политику по обеспечению безопасности информационных технологий на всех уровнях и во всех сферах человеческой деятельности.

В России вопросы информационной безопасности впервые нашли отражение в Концепции национальной безопасности Российской Федерации, утвержденной Указом Президента РФ от 17 декабря 1997 г. № 1300. В этом документе отмечается, что "в современных условиях всеобщей информатизации и развития информационных технологий резко возрастает значение обеспечения национальной безопасности Российской Федерации в информационной сфере".

Учитывая важность проблемы обеспечения безопасности государства в области информационных технологий, Указом Президента РФ от 9 сентября 2000 г. № Пр-1895 утверждена Доктрина информационной безопасности Российской

Федерации. Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

Для достижения целей политики обеспечения информационной безопасности государство создает необходимую нормативную правовую базу. Ее можно представить в виде иерархической системы нормативных правовых актов.

На верхнем уровне регулируются основы информационной безопасности государства, предприятия и гражданина Российской Федерации, а также вопросы комплексной защиты информации, имеющие отношение ко всем направлениям обеспечения информационной безопасности.

К нормативным правовым актам этого уровня относятся: Конституция Российской Федерации от 12 декабря 1993 г.; Федеральный закон от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании"; Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"; Федеральный закон от 28 декабря 2010 г. № 390 "О безопасности".

Федеральный закон "Об информации, информационных технологиях и о защите информации" является базовым федеральным законом Российской Федерации, регулирующим правоотношения в информационной сфере государства. Значение этого закона заключается прежде всего в определении основных понятий информационного права. В законе определены такие термины, как информация, информационные технологии, обладатель информации, конфиденциальность информации и др.

В нем законодательно закреплены основы политики государства в сфере информационных технологий, нрава и обязанности субъектов информационного права, а также принципы регулирования ответственности за правонарушения в информационной сфере.

Следующий уровень иерархии законов, которые используются в процессе управления информационной безопасностью, составляют законы, развивающие и конкретизирующие положения информационного права применительно к определенным областям информационной безопасности. К ним относятся действующие законы (с последующими изменениями и дополнениями): законы РФ от 27 декабря 1991 г. №2124-1 "О средствах массовой информации"; от 21 июля 1993 г. № 5485-1 "О государственной тайне"; федеральные законы от 7 июня 2003 г. № 126-ФЗ "О связи"; от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне"; от 13 марта 2006 г. № 38-ΦЗ "О рекламе"; от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и др. Для этой группы законов характерно следующее. Они вводят новые дефиниции в конкретной сфере информационного права. Эти законы регулируют взаимоотношения субъектов права при работе с определенного вида информацией (персональной информацией, информацией, составляющей государственную или коммерческую тайну), при использовании информационных технологий для реализации определенных бизнес-процессов (передача информации по каналам связи, массовое распространение информации, реклама, электронная торговля и т.д.).

К третьему, самому низкому, уровню иерархии законов могут быть отнесены законы, которые регламентируют применение определенного механизма противодействия информационным рискам. Примером такого закона может служить Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи". Как правило, конкретные технологии информационной сферы регламентируются на более низких по сравнению с законом уровнях. Лишь для технологий, являющихся наиболее важными при обеспечении информационной безопасности государства, применяется регулирование в рамках отделыюго закона.

Особое место в вопросах обеспечения информационной безопасности занимают кодифицированные законы Российской Федерации (с последующими изменениями и дополнениями): Гражданский кодекс Российской Федерации (часть четвертая) от 18 декабря 2006 г. № 230-ФЗ; Кодекс Российской Федерации об административных правонарушениях от 13 декабря 2001 г. № 195-ФЗ; Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ΦЗ; Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ и другие акты. Кодифицированные законы содержат отдельные главы и статьи, регулирующие отношения в информационной сфере, в том числе определяющие ответственность граждан за нарушения информационного законодательства.

Следующий уровень нормативного правового регулирования общественных отношений в информационной сфере составляют законы субъектов РФ, подзаконные акты органов государственного управления и местного самоуправления. Наиболее важные вопросы развития положений законов Российской Федерации отражаются в указах и распоряжениях Президента РФ, а также в постановлениях Правительства РФ.

Кроме законодательной базы на государственном уровне формируется также система национальных стандартов в информационной сфере. Значимость стандартов определяется важностью функций, выполняемых системой стандартизации. Система стандартов позволяет решать следующие задачи управления информационными рисками:

• согласование характеристик блоков, устройств, систем и процессов для их эффективного бесконфликтного совместного использования;

• обеспечение сравнимости результатов измерений и исследований, технических и экономико-статистических данных;

• оценка эффективности функционирования системы или качества продукта;

• определение уровня соответствия объекта исследования лучшим мировым или национальным образцам;

• взаимозаменяемость средств информатизации и информационных технологий;

• сертификация и лицензирование в сфере информационной безопасности.

На верхнем уровне иерархии стандартов, которые используются при управлении информационными рисками, находятся стандарты, предназначенные для эффективного использования информационных систем и информационных технологий. Такие стандарты позволяют повысить устойчивость бизнеса и его эффективность за счет внедрения новых информационных технологий. Вопросы управления информационными рисками в этих стандартах занимают значительное, но не единственное место. Информационные риски связываются не только с нарушением безопасности, но и со снижением качества информации ниже приемлемого уровня.

Наиболее известными стандартами этого уровня являются следующие стандарты: отраслевой стандарт США Control Objectives for Information and related Technology (CobiT); отраслевой стандарт IT Infrastructure Library (ITIL) (наиболее часто используется в Великобритании, Нидерландах и Австралии); национальный стандарт Великобритании BS 15000.

Второй уровень в иерархии стандартов, применяемых для управления информационными рисками, составляют стандарты управления системами информационной безопасности и качеством информации. К этой группе стандартов относятся стандарты, которые определяют процессы создания, эксплуатации, модернизации и утилизации систем информационной безопасности и систем управления информационными рисками.

Примерами стандартов такого уровня могут служить следующие стандарты: международные стандарты управления информационной безопасностью семейства ISO 27000 (более 20 стандартов); ГОСТ Р ИСО/МЭК ТО 18044 "Информационная технология. Методы обеспечения безопасности. Руководство по менеджменту безопасностью информации"; ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий"; ГОСТ Р ИСО/МЭК 13335-1–2006. "Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий"; ГОСТ Р ИСО/МЭК 18028-1 "Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности"; ГОСТ Р ИСО/ТО 13569–2007. "Финансовые услуги. Рекомендации по информационной безопасности"; ГОСТ 17799–2005 (ISO 17799:2005). "Практические правила управления информационной безопасностью"; ГОСТ Р ИСО/МЭК 15408–2002. "Критерии оценки безопасности информационных технологий"; ГОСТ Р 51169–98. "Качество служебной информации. Система сертификации информационных технологий в области качества служебной информации. Термины и определения"; ГОСТ Р 52294–2004. "Информационная технология. Управление организацией. Электронный регламент административной и служебной деятельности. Основные положения"; ГОСТ РВ 51987 "ИТ. КСАС. Требования и показатели качества функционирования информационных систем. Общие положения"; ГОСТ Р 50739–95. "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования"; ГОСТ Р 50922–96. "Защита информации. Основные термины и определения"; ГОСТ Р 51188–98. "Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство"; ГОСТ Р 51275–99. "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения".

На третьем уровне находятся стандарты для управления информационными рисками, которые определяют алгоритмы, принципы действия, порядок применения определенных механизмов защиты и защищенных информационных технологий. Эта группа стандартов определяет также требования к процессам создания и эксплуатации механизмов защиты.

К стандартам этого уровня относятся стандарты шифрования с симметричными ключами DES и AES (США), ГОСТ 28147–89 (Россия); стандарт шифрования с открытыми ключами RSA; стандарты цифровой подписи DSS (США) и ГОСТ Р 34.10–94 (Россия); стандарт использования хэш- функции ГОСТ Р 34.11–94 (Россия); RAID технология – стандарт defacto, определяющий организацию надежного и эффективного хранения данных, и др.

Для реализации политики информационной безопасности на государственном уровне создана система обеспечения информационной безопасности Российской Федерации, которая является частью системы обеспечения национальной безопасности страны.

Она включает все ветви исполнительной власти: исполнительную, законодательную и судебную. Органами исполнительной власти на федеральном уровне являются: Управление информационной безопасности и Межведомственная комиссия по информационной безопасности Совета безопасности РФ; Федеральная служба безопасности РФ; Федеральная служба охраны РФ; Межведомственная комиссия по защите государственной тайны; Федеральная служба по техническому и экспортному контролю, Управление К МВД; Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; Федеральное агентство по техническому регулированию и метрологии.

Перечисленные органы исполнительной власти готовят нормативные акты для представления их в Федеральное Собрание РФ, осуществляют разрешительную и надзорную функции в области информационной безопасности.

В Государственной Думе подготовкой нормативных актов в сфере информационной безопасности занимается Подкомитет по законодательству в сферах обеспечения деятельности спецслужб, противодействия коррупции, информационной безопасности, финансирования правоохранительных органов и спецслужб, социальной защиты их сотрудников, пенсионеров и членов их семей Комитета по безопасности, а также Комитет по информационной политике, информационным технологиям и связи. Рассматриваемая проблема обсуждается также в Комиссии Совета Федерации по информационной политике.