Правовые гарантии обеспечения информационной безопасности
Особое внимание необходимо к определению объекта обеспечения информационной безопасности в связи с расширением зоны социального сегмента Интернета. Традиционным объектом для ОИБ считается информация, относимая к государственной тайне, к режиму конфиденциальной информации. Но все более опасным становится использование персональных данных, а также информации открытого доступа, открытых данных. Здесь самая большая аудитория потребителей, и недостоверность, искажение и распространение вредной информации вызывает необратимые последствия в формировании личности, укоренении страха, провокация конфликтов и других форм нарушения безопасного развития общества. Наиболее яркая реакция на обеспечение чистоты и продуктивности массовой информации видна на примере уже неоднократно упомянутого Федерального закона от 28.07.2012 № 139 "О внесении изменений в Федеральный закон “О защите детей от информации, причиняющей вред их здоровью и развитию" и отдельные законодательные акты”". Этот закон должен стать предметом более глубокого изучения на семинарских занятиях по кусу информационного права и в плане обеспечения информационной безопасности.
В 2005 г. была опубликована работа А. А. Стрельцова, которая акцентировала внимание на обеспечении информационной безопасности и усилила интерес к вопросам теории, методологии правового регулирования в этой области[1]. Связь проблем обеспечения безопасности с проблемами регулирования отношений в области защиты и использования института государственной тайны постоянно находит отражение в работах М. А. Вуса и А. В. Федорова. Отметим значимость такой фундаментальной работы, как второе издание учебного пособия "Государственная тайна и ее защита в Российской Федерации", вышедшее под грифом Ассоциации "Юридический центр государственного управления и государственного контроля и надзора", а также Межведомственной комиссии по защите государственной тайны[2]. Выход только этих фундаментальных работ, наряду с множеством конкретных исследований, позволил приблизиться к постановке и решению ряда проблем, нашедших отражение в Стратегии развития информационного общества, Стратегии национальной безопасности Российской Федерации, стратегии информатизации судебной системы, и к постоянному вниманию общественности к проблемам обеспечения информационной безопасности.
В Законе об информации при закреплении сферы его действия сказано, что он регулирует отношения по обеспечению "защиты информации". Соответственно, этот Закон содержит ст. 16, которая так и называется: "Защита информации". В ч. 1 этой статьи установлено, что: "Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации".
Наиболее подробно здесь обозначены угрозы, которые могут вызывать необходимую систему мер правовых, организационных и технических. Они обозначены как неправомерный доступ, неправомерное уничтожение, изменение, блокирование, копирование, передача, распространение и иные неправомерные действия. При этом для того чтобы возникли отношения по обеспечению информационной безопасности, необходима формальная фиксация состояния условий, о которых сказано выше. Нужно зафиксировать, по крайней мере, обстоятельства, которые касаются того, какой информационный объект подвергается неправомерному посягательству; со стороны каких субъектов; кто должен обеспечить их безопасность.
Так, при характеристике информационного объекта важно уяснить, представлен ли он в форме документа, совокупности документов – базой данных, либо информационной системой, т.е. совокупностью не только данных, но и программным обеспечением, которое также может быть подвергнуто незаконному доступу и другим незаконным действиям. Важно и то, к какой категории доступа относится информационный объект: является ли он общедоступным или отнесен к объектам ограниченного доступа. Объектом незаконного доступа, очевидно, могут быть и входные и выходные средства информационной системы в сеть. Все эти обстоятельства имеют большое значение для квалификации действий по несанкционированному вмешательству в информационную систему или ее компоненты.
Закон называет три категории субъектов, которые должны сами обеспечить соблюдение определенных требований по обеспечению информационной безопасности. Это обладатель информации (не сказано, законный или незаконный), оператор, а также распространитель информации, очевидно СМИ.
Попробуем обозначить распределение их ролей относительно принимаемых мер в форме табл. 23.1.
Таблица 23.1
Распределение обязанностей участников обеспечения безопасности информационных систем по Закону об информации
Меры по обеспечению информационной безопасности |
Обладатель |
Оператор |
Распространитель |
|
Предотвращение несанкционированного доступа |
+ |
+ |
- |
|
Передача лицам без права доступа |
+ |
+ |
||
Обнаружение факта несанкционированного доступа |
+ |
+ |
- |
|
Предупреждение неблагоприятных последствий |
+ |
+ |
+ |
|
Недопущение воздействия на технические средства обработки информации |
+ |
+ |
+ |
|
Возможность незамедлительного восстановления информации, измененной или уничтоженной субъектом несанкционированного доступа |
+ |
+ |
? |
|
Постоянный контроль за обеспечением уровня защищенности информации |
+ |
+ |
? |
|
Стоит обратить внимание на то, что в составе субъектов не обозначен пользователь, а также что обязанности распространителя в части перечисленных функций остаются неурегулированными. Но и эти три вида субъектов в соответствии со своим правовым статусом будут реализовывать разные меры предотвращения несанкционированного доступа к открытой информации, к информации ограниченного доступа, а также отнесенной к государственной тайне.
В ч. 2 ст. 16 Закона об информации указано: "Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации".
В ч. 5 этой же статьи записано, что требования по защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. О требованиях к защите информации и информационных технологий корпоративных информационных систем и частных систем в этом Законе ничего не сказано.
Между тем вопросы защиты и обеспечения безопасности таких категорий информации, как коммерческая, профессиональная, персональные данные, нуждаются в урегулировании, которое осуществляется специальными федеральными законами. Следует уяснить, что проблема обеспечения безопасности касается не только информации ограниченного доступа. Этот институт должен работать и применительно к информации неограниченного доступа, и возможно, еще более основательно, чем в сфере конфиденциальности. Конфиденциальность и режим тайн уже сами по себе сужают круг пользователей.
Открытая же информация может подвергаться неправомерному воздействию – искажению, уничтожению, присвоению с меньшим препятствием. Это можно видеть на примере некоторых ресурсов Интернета[3]. В ч. 3 ст. 16 Закона об информации определено, что требования к защите общедоступной информации могут устанавливаться для достижения целей, указанных в п. 1 и 3 ч. 1 данной статьи. А именно: для обеспечения защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных деяний и при обеспечении реализации права на доступ.
Но и для информации ограниченного доступа вопросы уяснения, классификации угроз, рисков не остаются простыми и не ограничиваются только установлением мер по их усиленной охране.
Так, для обеспечения безопасности коммерчески значимой информации в соответствии с Федеральным законом "О коммерческой тайне" необходимо учитывать условия, в которых применяется институт коммерческой тайны. Специфика данного института состоит в том, что этот вид тайны действует преимущественно в системе гражданско- правовых отношений. Но как вид информации коммерческая тайна или коммерчески значимая информация подчиняется требованиям работы с ней с учетом правового режима конфиденциальности информации. И в процессе ее охраны и защиты реализуются меры информационного права с учетом специфики гражданско-правовых отношений в договорной, обязательственной практике, а также особенностей отношений в области интеллектуальной собственности в случае использования объектов коммерческой тайны. При этом соблюдаются требования к оформлению документов, содержащих коммерческую тайну, нормы, определяющие порядок работы с этой информацией, которые реализуют организационные меры защиты конфиденциальности, а также технические приемы обеспечения ограниченного доступа к ней. В итоге действуют комплексные меры защиты, вернее, сохранности в определенном режиме, а также требования к порядку обращения этой информации по системе коммуникаций. Использование такой информации обеспечивает гражданско-правовой интерес ее владельца – получение определенной прибыли в отношениях, реализующих право собственности, но при условии соблюдения правового режима, установленного законом и действиями владельца в соответствии с Законом об информации.
При обеспечении мер информационной безопасности по каждой из позиций несанкционированного доступа необходимо иметь технические регламенты, позволяющие фиксировать факты и субъектов несанкционированного доступа (внутренних для информационной системы и внешних); иметь шкалу определения вреда, ущерба для системы (информационного объекта и прав и интересов обладателя, оператора, распространителя), мер, которые они должны принять или обеспечить для предотвращения несанкционированного доступа. Эти вопросы должны регулироваться внутренними правовыми актами каждого из обозначенных субъектов: административными и техническими регламентами, инструкциями, стандартами, которые разрабатываются с учетом обозначенных выше требований по защите информации в государственных информационных системах. При этом обсуждается вопрос о замене технических регламентов общегосударственными или ведомственными стандартами.
В этом процессе немало сложностей. При установлении природы и особенностей информационного объекта приходится встречаться с его неоднозначностью по составу. Например, коммерческая тайна может касаться документов экономического, организационного характера, но может включать и информацию, относимую к ноу-хау – по российским традициям относимую к объектам интеллектуальной собственности, что и подтверждается соответствующими нормами части четвертой ГК РФ. В связи с этим способы правонарушений относительно конфиденциальности и защиты этих подвидов коммерческой тайны будут различными.
При рассмотрении вопросов информационной безопасности нельзя не отметить большой работы, которая реализуется в рамках СНГ, ОДКБ. Постоянное внимание к этим вопросам наблюдаем по итогам работы Межпарламентской ассамблеи ОДКБ но социально-экономическим и правовым вопросам. Почти все страны – участницы СНГ и ОДКБ приняли соответствующие акты по обеспечению информационной безопасности. Практика показывает, что необходимо большее внимание к таким регуляторам, как международные стандарты и протоколы, на основе более четкого установления, за что и в каких случаях оператор связи несет ответственность и за что он не должен отвечать (за отказ технического оборудования но причинам, не зависящим от оператора; за сбои за пределами его зоны ответственности, за ОГЛАВЛЕНИЕ сообщений и т.п.). В других главах учебника уже затрагивался вопрос о продвижении в этом отношении по ряду проблем (таможенный союз стран СНГ, системы миграции, работа Интерпола и т.д.). В ноябре 2012 г. Межпарламентской Ассамблеей СНГ принят новый документ "Рекомендации по совершенствованию и гармонизации национального законодательства государств- участников СНГ в сфере обеспечения информационной безопасности", на основе которого предстоит организация дальнейшей работы в этом направлении.
В обеспечении безопасности в пространстве Интернета важную роль выполняет национальное законодательство каждой страны. Например, основными документами, регулирующими китайский сегмент Интернета, являются акты Госсовета КНР: Правила защиты безопасности компьютерных систем (действуют с 1994 г.); Временное положение о контроле над электронными изданиями; Временное положение о контроле за международными соединениями информационных компьютерных сетей. Опубликованы также такие документы, как Временный порядок регистрации названий интернет-страниц, Правила контроля за помещением информации в сети[4].
Как видим, в области обеспечения информационной безопасности и прав граждан в этой части мобилизуется весь арсенал институтов и средств информационного права. Еще предстоит большая работа по учету руководящих документов на уровне Стратегий и программ в конкретных правовых актах, нацеленных на реализацию задач в сфере обеспечения информационной безопасности в ближайшие 10–15 лет с учетом конкретных ситуаций в области внутреннего развития Российской Федерации и внешних условий развития и использования глобальных информационных систем, включая и такие явления, как кибертерроризм, усложнение способов защиты интеллектуальной собственности, поддержание в безопасном состоянии открытых источников и ресурсов информации.