Законодательное обеспечение информационной безопасности
В состав законодательства по обеспечению информационной безопасности включаются федеральные законы, подзаконные нормативные правовые акты федеральных органов исполнительной власти, законы и подзаконные нормативные правовые акты субъектов РФ. Ниже мы охарактеризуем наиболее значимые нормативные правовые акты в области обеспечения информационной безопасности.
Конституция РФ содержит нормы, которые определяют правовые основы информационной безопасности: основные положения правового статуса субъектов информационных отношений, принципы информационной безопасности (законности, уважения прав, баланс интересов личности, общества и государства), конституционный статус государственных органов, обеспечивающих информационную безопасность и др.
Например, к таким положениям относятся нормы, которые устанавливают право каждого субъекта свободно искать, получать, передавать, производить и распространять информацию любым законным способом (п. 4. ст. 29 Конституции РФ). Это конституционное право, устанавливающее возможность удовлетворения интересов личности и общества, сбалансировано необходимостью их ограничения федеральным законом в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (п. 3. ст. 55).
Конституция РФ устанавливает запрет на доступ к информации о частной жизни и передаче сообщений по линиям телефонной связи (ст. 23).
Федеральный закон от 28.12.2010 № 390-ΦЗ "О безопасности" закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности. Закон определяет ключевые термины в области безопасности, которые применимы и для сферы информационной безопасности, принципы и систему безопасности, правовой статус и состав Совета Безопасности РФ.
Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" фиксирует базовые нормы для всей системы информационного законодательства, в том числе правового обеспечения информационной безопасности. Здесь приведены основные термины и их определения, принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации (ст. 3), классификация информации по категориям доступа — общедоступная и ограниченного доступа (ст. 5), порядок ее предоставления или распространения (свободно распространяемая, обязательного предоставления или распространения, ограниченного распространения или запрещаемая для распространения вообще). Закон также определяет базовые положения правового режима доступа к информации (ст. 8) и его ограничения (ст. 9), основные параметры правовых режимов распространения (ст. 10) и документирования (ст. 11) информации, информационных систем (ст. 13), информационно-телекоммуникационных сетей (ст. 15) и общие условия защиты информации (ст. 16), информационных систем (ст. 13) и использования информационных технологий, а также в общих чертах описывает ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.
Закон Российской Федерации от 21.06.1993 № 5485-1 "О государственной тайне", Федеральный закон от 29.07.2004 № 98-ФЗ "О коммерческой тайне" и Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (89, 90, 91) устанавливают правовые режимы информации ограниченного доступа, в том числе сведений, составляющих государственную и коммерческую тайну.
Нормы названных законов на более детальном уровне, чем норма ст. 9 Закона "Об информации", регулируют условия правового режима доступа к сведениям конфиденциального характера, конкретизируют правовой статус субъектов отношений, возникающих по поводу тайн и персональных данных. Именно в названных законах содержатся основные запреты, ограничения и дозволения, которые составляют правовые основания для формулировок составов информационных правонарушений, направленных на интересы личности, общества и государства в области конфиденциальности информации.
Федеральный закон от 06.04.2011. № 63-ΦЗ "Об электронной подписи" определяет правовой режим технологического обеспечения защиты информации в системе базовых законов информационного законодательства. В ст. 1 данного Федерального закона определена его сфера — отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.
Уголовный кодекс РФ в главе 28 предусматривает ответственность за совершение преступлений в сфере компьютерной информации (ст. 272—275). Всего в тексте кодекса содержится более 50 отдельных статей, устанавливающих уголовную ответственность за нарушение установленных запретов в информационной сфере.
Трудовой кодекс РФ устанавливает правовой режим персональных данных работника, определяет общие требования по их обработке и защите, устанавливает сроки хранения таких данных и процедуру их использования. В случаях нарушения норм, регулирующих получение, обработку и защиту персональных данных работника, виновные лица привлекаются к дисциплинарной, материальной, административной, гражданско-правовой и уголовной ответственности. Трудовой кодекс РФ определяет норму об ответственности за разглашение отдельных видов тайн и персональных данных.
Кодекс РФ об административных правонарушениях в главе 13 определяет административную ответственность за правонарушения в области связи и информации (ст. 13.1—13.24). Еще более 90 статей, в которых определяется ответственность за совершение проступков информационного характера. Так, например, устанавливается ответственность за отказ в предоставлении гражданину информации (ст. 5.39), за сокрытие или искажение экологической информации (ст. 8.5), за незаконные действия по получению и (или) распространению информации, составляющей кредитную историю (ст. 5.53).
Имеется также массив нормативных правовых актов подзаконного характера, состоящий из большого количества документов, регулирующих отдельные направления правового обеспечения информационной безопасности.
Указ Президента РФ от 17.03.2008 № 351 "О мерах по обеспечению информационной безопасности Российской
Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (93). В данном Указе устанавливается запрет подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну к информационно-телекоммуникационным сетям международного информационного обмена. В целях защиты информации государственные органы обязаны использовать только средства защиты информации, прошедшие сертификацию в ФСБ России и (или) получившие подтверждение соответствия в ФСТЭК. Выполнение данных требований указа в полной мере должно обеспечить защиту информации, составляющей государственную тайну.
Эксплуатацию, поддержание и развитие сегмента информационно-телекоммуникационной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов РФ обеспечивает Служба специальной связи и информации ФСО России. Приказом ФСО России от 07.08.2009 № 487 утверждено Положение о сегменте информационно-телекоммуникационной сети Интернет (94) для федеральных органов государственной власти и органов государственной власти субъектов РФ. В соответствии с названным нормативным правовым актом сегмент сети Интернет — это находящаяся в ведении (эксплуатации) ФСО России (далее — оператор сегмента сети Интернет) часть информационно-телекоммуникационной сети, связывающей информационные системы, информационно-телекоммуникационные сети различных государств посредством сетевых адресов информационно-телекоммуникационной сети Интернет.
Сегмент сети Интернет предназначен для обеспечения размещения информации о деятельности администрации Президента РФ, аппарата Совета Федерации, аппарата Государственной Думы, аппарата Правительства РФ, аппаратов Конституционного Суда РФ, Верховного Суда РФ, Высшего Арбитражного Суда РФ, Генеральной прокуратуры РФ и Следственного комитета при прокуратуре РФ, федеральных органов государственной власти и органов государственной власти субъектов РФ, а также для доступа к сети Интернет должностных лиц указанных государственных органов.
В российском правовом пространстве длительное время в обороте используется понятие "служебная информация ограниченного распространения", относимое к деятельности органов государственной власти, которая нередко определяется в нормативных правовых актах как "служебная тайна". Постановлением Правительства РФ от 03.11.1994 № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах государственной власти" (95) определяется правовое положение информации ограниченного доступа, несмотря на то, что согласно п. 1 и 4 ст. 9 Закона "Об информации" ограничение доступа к информации и, в частности, отнесение информации к сведениям, составляющим служебную тайну, устанавливается исключительно федеральными законами. Явное несовершенство информационного законодательства и практики его применения отрицательно влияет на состояние правовой защиты интересов субъектов правоотношений. Пробел в нормативных правовых актах, устанавливающих оборот информации служебного характера, не позволяет установить запрет либо ограничения на ее использование, а вместе с этим создает ситуацию невозможности установить административную и/или уголовную ответственность за нарушения порядка распространения этой важной формы информации.