9.1 Информация как объект юридической защиты
Основные принципы засекречивания информации
9.2 Государственная система правового обеспечения защиты информации в Российской Федерации
ИБ представляет собою совокупность решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению ИБ, так и создание и функционирование систем защиты информации на конкретных объектах. Основные функции организационно-правовой базы следующие.
1. Разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации.
2. Определение системы органов и должностных лиц,, ответственных за обеспечение ИБ в стране и порядка регулирования деятельности предприятия и организации в этой области.
3. Создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы обеспечения ИБ как в стране в целом, так и на конкретном объекте.
4. Определение мер ответственности за нарушения правил защиты.
5. Определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.
Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигались бы следующие цели:
Разработка законодательной базы ИБ любого государства является необходимой мерой, удовлетворяющей первейшую потребность в защите информации при развитии социально-экономических, политических, военных направлений развития этого государства. Особое внимание со стороны западных стран к формированию такой базы вызвано все возрастающими затратами на борьбу с «информационными» преступлениями. Все это заставляет страны Запада серьезно заниматься вопросами законодательства по защите информации.
Определение основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации. Созданием законодательной базы в области ИБ каждое государство стремится защитить свои информационные ресурсы. Информационные ресурсы государства в самом первом приближении могут быть разделены на три большие группы:
Защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для собственника, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи.
Какую информацию относят к защищаемой?
Во-первых, секретную информацию. К секретной информации в настоящее время принято относить сведения, содержащие государственную тайну.
Во-вторых, конфиденциальную информацию. К этому виду защищаемой информации относят обычно сведения, содержащие коммерческую тайну, а также тайну, касающуюся личной (неслужебной) жизни и деятельности граждан.
Таким образом, под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собственником и характеризуемые понятием «тайна».
Применительно к органам государственной власти и управления под тайной понимается то, что скрывается от других, что известно определенному кругу людей. Иначе говоря, те сведения, которые не подлежат разглашению, и составляют тайну.
Основное направление использования этого понятия - засекречивание государством определенных сведений, сокрытие которых от соперников, потенциального противника дает ему возможность успешно решать жизненно важные вопросы в области обороны страны, политических, научно-технических и иных проблем с меньшими затратами сил и средств.
К подобному же ввиду тайны относится засекречивание предприятием, фирмой сведений, которые помогают ему эффективно решать задачи производства и выгодной реализации продукции.
Сюда же примыкают и тайны личной жизни граждан, обычно гарантируемые государством: тайна переписки, врачебная тайна, тайна денежного вклада в банке и др.
Второй функцией организационно-правового обеспечения информационной безопасности является определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране. Основой для создания государственной системы организационно-правового обеспечения защиты информации является создаваемая в настоящее время государственная система защиты информации, под которой понимается совокупность федеральных и иных органов управления и взаимоувязанных правовых, организационных и технических мер, осуществляемых на различных уровнях управления и реализации информационных отношений и направленных на обеспечение безопасности информационных ресурсов.
Основные положения правового обеспечения защиты информации приведены в Доктрине информационной безопасности РФ, а также в других законодательных актах.
Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Напомним содержание интересов личности, общества и государства в информационной сфере.
Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.
Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
На основе национальных интересов РФ в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.
Рассмотрим структуру государственной системы информационной безопасности и основные функции ее составных частей.
Основным органом, координирующим действия государственных структур по вопросам защиты информации, является Межведомственная комиссия по защите государственной тайны, созданная Указом Президента РФ № 1108 от 8.11.1995 г. Она действует в рамках Государственной системы защиты информации от утечки по техническим каналам, положение о которой введено в действие постановлением Правительства РФ от 15.09.1993 г. №912-51. В этом постановлении определены структура, задачи и функции, а также организация работ по защите информации применительно к сведениям, составляющим государственную тайну. Основной задачей Государственной системы защиты информации является проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности страны.
Общая организация и координация работ в стране по защите информации, обрабатываемой техническими средствами, осуществляется Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по следующим вопросам в области обеспечения информационной безопасности:
1) обеспечению безопасности информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере;
2) противодействию иностранным техническим разведкам на территории РФ;
3) обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращению ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ;
4) защите информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств.
Основными задачами в области обеспечения информационной безопасности для ФСТЭК России являются:
1) реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;
2) осуществление государственной научно-технической политики в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
3) организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой;
4) осуществление самостоятельного нормативно-правового регулирования вопросов: обеспечения безопасности информации в ключевых системах информационной инфраструктуры; противодействия техническим разведкам; технической защиты информации; размещения и использования иностранных технических средств наблюдения и контроля в ходе реализации международных договоров РФ, иных программ и проектов на территории РФ, на континентальном шельфе и в исключительной экономической зоне РФ; координации деятельности органов государственной власти по подготовке развернутых перечней сведений, подлежащих засекречиванию, а также методического руководства этой деятельностью;
5) обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов РФ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ, органах местного самоуправления и организациях;
6) прогнозирование развития сил, средств и возможностей технических разведок, выявление угроз безопасности информации;
7) противодействие добыванию информации техническими средствами разведки, техническая защита информации;
8) осуществление координации деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ и организаций по государственному регулированию размещения и использования иностранных технических средств наблюдения и контроля в ходе реализации международных договоров РФ, иных программ и проектов на территории РФ, на континентальном шельфе и в исключительной экономической зоне РФ;
9) осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов РФ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ, органах местного самоуправления и организациях;
10) осуществление центральным аппаратом ФСТЭК России организационно-технического обеспечения деятельности Межведомственной комиссии по защите государственной тайны.
ФСТЭК России в своей деятельности руководствуется Конституцией РФ, федеральными конституционными законами, федеральными законами, актами президента РФ и правительства РФ, международными договорами РФ, приказами и директивами министра обороны РФ в части, касающейся ФСТЭК России, настоящим положением о ФСТЭК России, а также другими нормативными правовыми актами РФ, касающимися деятельности ФСТЭК России.
Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов РФ, федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями.
ФСТЭК России осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями.
Обеспечение информационной безопасности является одним из основных направлений деятельности органов Федеральной службы безопасности.
Обеспечение информационной безопасности осуществляется ими в пределах своих полномочий:
ФСБ России предоставлено право:
1) осуществлять в соответствии со своей компетенцией регулирование в области разработки, производства, реализации, эксплуатации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, расположенных на территории РФ, а также в области предоставления услуг по шифрованию информации в РФ, выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах;
2) осуществлять государственный контроль за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи, контроль за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории РФ и в ее учреждениях, находящихся за пределами РФ, а также в соответствии со своей компетенцией контроль за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам;
3) участвовать в определении порядка разработки, производства, реализации, эксплуатации и обеспечения защиты технических средств обработки, хранения и передачи информации ограниченного доступа, предназначенных для использования в учреждениях РФ, находящихся за ее пределами;
4) обеспечивать выявление устройств перехвата информации на особо важных объектах (в помещениях) и технических средствах, предназначенных для использования в федеральных органах государственной власти.
Служба внешней разведки РФ для осуществления своей деятельности может при собственных лицензировании и сертификации приобретать, разрабатывать (за исключением криптографических средств защиты), создавать, эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации от утечки по техническим каналам.
Министерство обороны (Минобороны России) организует деятельность по обеспечению информационной безопасности, защите государственной тайны в Вооруженных силах, а также в установленном порядке в пределах своей компетенции работы по сертификации средств защиты информации.
Другие органы государственного управления (министерства, ведомства) в пределах своей компетенции:
Для осуществления указанных функций в составе органов государственного управления функционируют научно-технические подразделения (центры) защиты информации и контроля.
На предприятиях, выполняющих оборонные и иные секретные работы, функционируют научно-технические подразделения защиты информации и контроля, координирующие деятельность в этом направлении научных и производственных структурных подразделений предприятия, участвующие в разработке и реализации мер по защите информации, осуществляющие контроль эффективности этих мер.
Кроме того, в отраслях промышленности и в регионах страны создаются и функционируют лицензионные центры, осуществляющие организацию и контроль за лицензионной деятельностью в области оказания услуг по защите информации, органы по сертификации средств вычислительной техники и средств связи, испытательные центры по сертификации конкретных видов продукции по требованиям безопасности информации, органы по аттестации объектов информатики.
Государственная система обеспечения информационной безопасности создается для решения следующих проблем, требующих законодательной поддержки:
Анализ современного состояния информационной безопасности в России показывает, что уровень ее в настоящее время не соответствует жизненно важным потребностям личности, общества и государства.
Такое положение дел в области обеспечения информационной безопасности требует безотлагательного решения ряда ключевых проблем.
1. Формирование законодательной и нормативно-правовой базы обеспечения информационной безопасности, в том числе разработка реестра информационного ресурса, регламента информационного обмена для органов государственной власти и управления, нормативного закрепления ответственности должностных лиц и граждан по соблюдению требований информационной безопасности.
2. Разработка механизмов реализации прав граждан на информацию.
3. Формирование системы информационной безопасности, обеспечивающей реализацию государственной политики в этой области.
4. Совершенствование методов и технических средств, обеспечивающих комплексное решение задач защиты информации.
5. Разработка критериев и методов оценки эффективности систем и средств информационной безопасности.
6. Исследование форм и способов цивилизованного воздействия государства на формирование общественного сознания.
7. Комплексное исследование деятельности персонала информационных систем, в том числе методов повышения мотивации, морально-психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией.
Разработка правового обеспечения защиты информации идет по трем направлениям.
1. Защита прав личности на частную жизнь.
2. Защита государственных интересов.
3. Защита предпринимательской и финансовой деятельности.
Структура нормативной базы по вопросам информационной безопасности включает:
Среди федеральных законов отметим следующие:
N 40-ФЗ «Об органах Федеральной службы безопасности в РФ» от 3.04.1995 г;
№ 63-ФЗ «Об электронной подписи» от 06.04.2011 г;
№ 98-ФЗ «О коммерческой тайне» от 29.07.2004 г;
№ 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011 г;
№ 126-ФЗ «О связи» от 7 июля 2003 года (есть дополнения от 1.05.2014 г.);
№ 144-ФЗ «Об оперативно-розыскной деятельности» от 12.08.1995 г;
№ 149-ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 г;
№ 152-ФЗ «О персональных данных» от 27.07.2006 г (действующая редакция от 23.07.2013);
№ 161-ФЗ «О национальной платежной системе» от 27.06.2011 г;
№ 184-ФЗ «О техническом регулировании» от 27.12.2002 г;
N 390-ФЗ «О безопасности» от 28.12.2010 г;
N 5485-1 «О государственной тайне» от 21.07.1993 (ред. от 21.12.2013).
Отдельное важное место занимают Стратегия и Доктрина:
№ Пр-212 «Стратегия развития информационного общества в Российской Федерации» от 07.02.2008 г.
№ Пр-1895 «Доктрина информационной безопасности» от 09.09.2000 г.
Указы Президента Российской Федерации
№ 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» от 16 августа 2004 г. (с изм. от 22 марта 2005 г.)
№ 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» от 12 мая 2004 г.
№ 1203 «О внесении изменений и дополнений в перечень сведений, отнесенных к государственной тайне» от 30 ноября 1995 г. (с изм. от 06 июня 2001 г. № 659)
№ 627 «Вопросы Межведомственной комиссии по защите государственной тайны» от 02 июня 2001 г.
№ 1953 «Вопросы военно-технического сотрудничества Российской Федерации с иностранными государствами» от 01 декабря 2000 г.
№ 419 «О внесении изменений в Перечень должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне» от 26 сентября 2000 г.
№ 1895 «Доктрина информационной безопасности Российской Федерации» от 09 сентября 2000 г.
№ 6 «Об утверждении Перечня должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне» от 17 января 2000 г.
№ 24 «О концепции национальной безопасности Российской Федерации» от 10 января 2000 г.
№ 1467 «О составе Межведомственной комиссии по защите государственной тайны по должностям» от 01 ноября 1999 г.
№ 811 «Вопросы Государственной технической комиссии при Президенте Российской Федерации» от 24 июня 1999 г.
№ 212. «Вопросы Государственной технической комиссии при Президенте Российской Федерации» от 19 февраля 1999 г.
№ 61 «О перечне сведений, отнесенных к государственной тайне» от 24 января 1998 г.
№ 1300 «Концепция национальной безопасности Российской Федерации» от 17 декабря 1997 г.
№ 594 «О некоторых вопросах Межведомственной комиссии по защите государственной тайны» от 14 июня 1997 г.
№ 188 «Об утверждении перечня сведений конфиденциального характера» от 06 марта 1997 г.
№ 71 «Вопросы Межведомственной комиссии по защите государственной тайны» от 20 июня 1996 г.
№ 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 03 апреля 1995 г.
№ 170 «Об основах государственной политики в сфере информатизации» от 20 января 1994 г.
Постановления Правительства РФ
№ 348 «О лицензировании деятельности но разработке и (или) производству средств защиты конфиденциальной информации» от 27 мая 2002 г.
№ 290 «О лицензировании деятельности по технической защите конфиденциальной информации» от 30 апреля 2002 г.
№ 647 «Об утверждении Порядка разработки списка продукции военного назначения, разрешенной к передаче иностранным заказчикам, и Порядка разработки списка государств, в которые разрешена передача продукции военного назначения, указанной в списке продукции военного назначения, разрешенной к передаче иностранным заказчикам» от 30 августа 2001 г.
№ 633 «О порядке размещения и использования на территории Российской Федерации, на континентальном шельфе и в исключительной экономической зоне Российской Федерации иностранных технических средств наблюдения и контроля» от 29 августа 2001 г.
№ 205 «Об утверждении положения о лицензировании деятельности по разработке, производству и испытаниям авиационной техники, в том числе авиационной техники двойного назначения» от 19 марта 2001 г.
№ 207 «Об утверждении положения о лицензировании деятельности в области вооружения и военной техники» от 19 марта 2001 г.
№ 796 «Об утверждении положения о лицензировании образовательной деятельности» от 18 октября 2000 г.
№ 326 «О лицензировании отдельных видов деятельности» от 11 апреля 2000 г.
№ 1384 «Об утверждении положения об участии российских организаций в проведении выставок и показов продукции военного назначения» от 13 декабря 1999 г.
№ 1003 «Об утверждении положения о порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне» от 22 августа 1998 г.
№ 973 «О подготовке к передаче сведений, составляющих государственную тайну, другим государствам» от 02 августа 1997 г.
№ 226 «О государственном учете и регистрации баз и банков данных» от 28 февраля 1996 г.
№ 870 «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности» от 04 сентября 1995 г.
№ 608 «О сертификации средств защиты информации» от 26 июня 1995 г.
№ 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» от 15 апреля 1995 г.
№ 170 «Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР» от 20 февраля 1995 г.
№ 1161 «О порядке и условиях выплаты процентных надбавок к должностному окладу (тарифной ставке) должностных лиц и граждан, допущенных к государственной тайне» от 14 октября 1994 г.
№ 3523 «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 г.