Правовое оформление гарантий обеспечения информационной безопасности

В 2005 г. была опубликована работа А. А. Стрельцова, которая акцентировала внимание на обеспечении инфор­мационной безопасности и усилила интерес к вопросам теории, методологии правового регулирования в этой об­ласти. Связь проблем обеспечения безопасности с пробле­мами регулирования отношений в области защиты и ис­пользования института государственной тайны постоянно находит отражение в работах М. А. Вуса и А. В. Федорова. Отметим значимость такой фундаментальной работы, как второе издание учебного пособия «Государственная тайна и ее защита в Российской Федерации», вышедшее под гри­фом Ассоциации «Юридический центр государственного управления и государственного контроля и надзора», а так­же Межведомственной комиссии по защите государствен­ной тайны. Выход только этих фундаментальных работ, наряду с множеством конкретных исследований, позво­лил приблизиться к постановке и решению ряда проблем, нашедших отражение в Стратегии развития информаци­онного общества, Стратегии национальной безопасности Российской Федерации, стратегии информатизации судеб­ной системы, и к постоянному вниманию общественности к проблемам обеспечения информационной безопасности.

В Законе об информации при закреплении сферы его действия сказано, что он регулирует отношения по обеспе­чению «защиты информации». Соответственно, этот Закон содержит ст. 16, которая так и называется: «Защита инфор­мации». В ч. 1 этой статьи установлено, что: «Защита ин­формации представляет собой принятие правовых, органи­зационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного до­ступа, уничтожения, модифицирования, блокирования, копи­рования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации огра­ниченного доступа;

3) реализацию права на доступ к информации». Наиболее подробно здесь обозначены угрозы, которые

могут вызывать необходимую систему мер правовых, орга­низационных и технических. Они обозначены как неправо­мерный доступ, неправомерное уничтожение, изменение, блокирование, копирование, передача, распространение и иные неправомерные действия. При этом для того чтобы возникли отношения по обеспечению информационной безопасности, необходима формальная фиксация состояния условий, о которых сказано выше. Нужно зафиксировать, по крайней мере, обстоятельства, которые касаются того, какой информационный объект подвергается неправомер­ному посягательству; со стороны каких субъектов; кто дол­жен обеспечить их безопасность.

Так, при характеристике информационного объекта важ­но уяснить, представлен ли он в форме документа, совокуп­ности документов — базой данных, либо информационной системой, т.е. совокупностью не только данных, но и про­граммным обеспечением, которое также может быть под­вергнуто незаконному доступу и другим незаконным дей­ствиям. Важно и то, к какой категории доступа относится информационный объект: является ли он общедоступным или отнесен к объектам ограниченного доступа. Объектом незаконного доступа, очевидно, могут быть и входные и вы­ходные средства информационной системы в сеть. Все эти обстоятельства имеют большое значение для квалифика­ции действий по несанкционированному вмешательству в информационную систему или ее компоненты.

Закон называет три категории субъектов, которые долж­ны сами обеспечить соблюдение определенных требований по обеспечению информационной безопасности. Это об­ладатель информации (не сказано, законный или незакон­ный), оператор, а также распространитель информации, очевидно СМИ.

Попробуем обозначить распределение их ролей относи­тельно принимаемых мер в форме табл. 9.

Таблица 9

Распределение обязанностей участников обеспечения безопасности информационных систем по Закону об информации

Стоит обратить внимание на то, что в составе субъектов не обозначен пользователь, а также что обязанности рас­пространителя в части перечисленных функций остаются неурегулированными. Но и эти три вида субъектов в соот­ветствии со своим правовым статусом будут реализовывать разные меры предотвращения несанкционированного до­ступа к открытой информации, к информации ограничен­ного доступа, а также отнесенной к государственной тайне.

В части 2 ст. 16 Закона об информации указано: «Госу­дарственное регулирование отношений в сфере защиты ин­формации осуществляется путем установления требований о защите информации, а также ответственности за наруше­ние законодательства Российской Федерации об информа­ции, информационных технологиях и о защите информа­ции».

В части 5 этой же статьи записано, что требования по за­щите информации, содержащейся в государственных ин­формационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия тех­ническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. О требо­ваниях к защите информации и информационных техно­логий корпоративных информационных систем и частных систем в этом Законе ничего не сказано.

Между тем вопросы защиты и обеспечения безопасности таких категорий информации, как коммерческая, профес­сиональная, персональные данные, нуждаются в урегулиро­вании, которое осуществляется специальными федеральны­ми законами. Следует уяснить, что проблема обеспечения безопасности касается не только информации ограниченно­го доступа. Этот институт должен работать и примени­тельно к информации неограниченного доступа, и возможно, еще более основательно, чем в сфере конфиденциальности. Конфиденциальность и режим тайн уже сами по себе сужа­ют круг пользователей.

Открытая же информация может подвергаться неправо­мерному воздействию — искажению, уничтожению, при­своению с меньшим препятствием. Это можно видеть на примере некоторых ресурсов Интернета'. В части 3 ст. 16 Закона об информации определено, что требования к защите общедоступной информации могут устанавли­ваться для достижения целей, указанных в п. 1 и 3 ч. 1 дан­ной статьи. Л именно: для обеспечения защиты информации от неправомерного доступа, уничтожения, модифицирова­ния, блокирования, копирования, предоставления, распро­странения, а также от иных неправомерных деяний и при обеспечении реализации права на доступ.

Но и для информации ограниченного доступа вопросы уяснения, классификации угроз, рисков не остаются про­стыми и не ограничиваются только установлением мер по их усиленной охране.

Так, для обеспечения безопасности коммерчески значи­мой информации в соответствии с Федеральным законом «О коммерческой тайне» необходимо учитывать условия, в которых применяется институт коммерческой тайны. Специфика данного института состоит в том, что этот вид тайны действует преимущественно в системе гражданско-правовых отношений. Но как вид информации коммерческая тайна или коммерчески значимая информация подчиняется требованиям работы с ней с учетом правового режима кон­фиденциальности информации. И в процессе ее охраны и за­щиты реализуются меры информационного права с учетом специфики гражданско-правовых отношений в договорной, обязательственной практике, а также особенностей отноше­ний в области интеллектуальной собственности в случае ис­пользования объектов коммерческой тайны. При этом соблю­даются требования к оформлению документов, содержащих коммерческую тайну, нормы, определяющие порядок работы с этой информацией, которые реализуют организационные меры защиты конфиденциальности, а также технические приемы обеспечения ограниченного доступа к ней. В итоге действуют комплексные меры защиты, вернее, сохранности в определенном режиме, а также требования к порядку об­ращения этой информации но системе коммуникаций. Ис­пользование такой информации обеспечивает гражданско-правовой интерес ее владельца — получение определенной прибыли в отношениях, реализующих право собственности, но при условии соблюдения правового режима, установленного законом и действиями владельца в соответствии с За­коном об информации.

При обеспечении мер информационной безопасности по каждой из позиций несанкционированного доступа необходимо иметь технические регламенты, позволяющие фиксировать факты и субъектов несанкционированного до­ступа (внутренних для информационном системы и внеш­них); иметь шкалу определения вреда, ущерба для системы (информационного объекта и прав и интересов обладателя, оператора, распространителя), мер, которые они должны принять или обеспечить для предотвращения несанкцио­нированного доступа. Эти вопросы должны регулироваться внутренними правовыми актами каждого из обозначенных субъектов: административными и техническими регламен­тами, инструкциями, стандартами, которые разрабатыва­ются с учетом обозначенных выше требований по защите информации в государственных информационных систе­мах. При этом обсуждается вопрос о замене технических регламентов общегосударственными или ведомственными стандартами.

В этом процессе немало сложностей. При установлении природы и особенностей информационного объекта прихо­дится встречаться с его неоднозначностью по составу. На­пример, коммерческая тайна может касаться документов экономического, организационного характера, но может включать и информацию, относимую к ноу-хау — по рос­сийским традициям относимую к объектам интеллекту­альной собственности, что и подтверждается соответству­ющими нормами части четвертой ГК РФ. В связи с этим способы правонарушений относительно конфиденциаль­ности и защиты этих подвидов коммерческой тайны будут различными.

В интернет-среде регулирование в направлении обеспече­ния безопасности осуществляется преимущественно на осно­ве международных стандартов и протоколов, на основе бо­лее четкого установления, за что и в каких случаях оператор связи несет ответственность и за что он не должен отвечать (за отказ технического оборудования по причинам, не зави­сящим от оператора; за сбои за пределами его зоны ответ­ственности, за содержание сообщений и т.п.).

В обеспечении безопасности в пространстве Интернета важную роль выполняет национальное законодательство каждой страны. Например, основными документами, регу­лирующими китайский сегмент Интернета, являются акты Госсовета КНР: Правила защиты безопасности компьютер­ных систем (действуют с 1994 г.); Временное положение о контроле над электронными изданиями; Временное по­ложение о контроле за международными соединениями ин­формационных компьютерных сетей. Опубликованы также такие документы, как Временный порядок регистрации на­званий интернет-страниц. Правила контроля за помещени­ем информации в сети.

Как видим, в области обеспечения информационной безопасности и прав граждан в этой части мобилизуется весь арсенал институтов и средств информационного пра­ва. Еще предстоит большая работа по учету руководящих документов на уровне Стратегий и программ в конкретных правовых актах, нацеленных на реализацию задач в сфере обеспечения информационной безопасности в ближайшие 10—15 лет с учетом конкретных ситуаций в области вну­треннего развития Российской Федерации и внешних усло­вий развития и использования глобальных информацион­ных систем, включая и такие явления, как кибертерроризм, усложнение способов защиты интеллектуальной собствен­ности, поддержание в безопасном состоянии открытых ис­точников и ресурсов информации

Контрольные вопросы

1. Что такое безопасность в информационной сфере?

2. Что вы знаете об обеспечении информационной безопасности?

3. Как можно сформулировать понятия угроз, рисков, правонару­шений в области информационной безопасности?

4. Как реализуются правовые средства обеспечения информаци­онной безопасности?

Литература

1. Антополъский, А. А. Коммерческая тайна: нормы закона и реальные правоотношения / А. А. Антопольский //Те­оретические проблемы информационного права. — М.: ИГП РАН, 2006. - С. 211-224.

2. Антопольский, А. А. Конфликты по поводу тайн и право­вые средства их разрешения / А. А. Антопольский //Конфликты в информационной сфере. — М.: ИГП РАЗ I. 2009. - С. 155-175.

3. Доктрина информационной безопасности Российской Федерации. - М.. 2001.

4. Короткое, А. В. Государственная политика Россий­ской Федерации в области информационного обще­ства / А. В. Короткое, Б. В. Кристальный, И. Н. Курно­сое. - М., 2007. - С. 246-266.

5. Об информации, информационных технологиях и о за­щите информации: Федеральный закон от 27.07.2006 № 149-ФЗ // СЗ РФ. - 2006. - № 31 (ч. 1). - Ст. 3448.

6. Стратегия национальной безопасности Российской Федерации до 2020 года: утв. Указом Президента РФ от 12.05.2009 № 537 // СЗ РФ. - 2009. - № 20. -Ст. 2444.

7. Стратегия развития информационного общества в Рос­сийской Федерации: утв. Президентом РФ 07.02.2008 // РГ. - 2008. - 16фев.

8. Стрельцов, А. А. Обеспечение информационной безопас­ности России / А. А. Стрельцов. — М, 2002.

ГЛАВА 25 Ответственность субъектов в условиях информатизации

Дата добавления: 2015-05-10; Просмотров: 582; Нарушение авторских прав?; Мы поможем в написании вашей работы!