 |
Роль государства в обеспечении информационной безопасности
|
|
|
|
Права и свободы человека и гражданина, связанные с обращением информации, определены Конституцией Российской Федерации и включают: право доступа к информации, затрагивающей права, свободы и обязанности человека и гражданина <2>, право на тайну частной жизни (ст. ст. 23 и 24), тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. 23), право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ст. 29), свободу слова (ст. 29).
"Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения" (ст. 15); "2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом" (ст. 24); "Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением" (ст. 42); "3. Сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, влечет за собой ответственность в соответствии с федеральным законом" (ст. 41).
Эти права могут быть ограничены только "в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства" (ст. 55).
Государство обязано обеспечить реализацию этих прав и свобод с учетом установленных условий их ограничения, в том числе оно вправе ограничивать право свободного обращения информации режимом государственной тайны, а право тайны частной жизни ограничивать в рамках проведения оперативно-розыскных мероприятий и следственных действий.
|
|
|
Каким образом государство может обеспечить выполнение этих функций? На этот вопрос должны были бы ответить статья 12 "Государственное регулирование в сфере применения информационных технологий" и статья 16 "Защита информации" [<анонимны16] Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон "Об информации..."). В Доктрине информационной безопасности Российской Федерации указывается на необходимость разработки "основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики", развития и совершенствования "системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам".
В частности, государственное регулирование в сфере применения информационных технологий предусматривает:
"1) регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий (информатизации), на основании принципов, установленных указанным Федеральным законом;
2)развитие информационных систем различного назначения для обеспечения граждан (физических лиц), организаций, государственных органов и органов местного самоуправления информацией, а также обеспечение взаимодействия таких систем;
|
|
|
3)создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети Интернет и иных подобных информационно-телекоммуникационных сетей.
2. Государственные органы, органы местного самоуправления в соответствии со своими полномочиями:
1) участвуют в разработке и реализации целевых программ применения информационных технологий;
2) создают информационные системы и обеспечивают доступ к содержащейся в них информации на русском языке и государственном языке соответствующей республики в составе Российской Федерации".
Главная функция государства - разработка и создание механизмов формирования и реализации государственной политики в области информационной безопасности.
Второй очевидной функцией власти являются разработка и совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации.
Помимо установления норм ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности, государство обязано обеспечить реализацию принципа неотвратимости наказания, то есть найти правонарушителя и привлечь его к ответственности. Российское законодательство содержит нормы административной и уголовной ответственности. Из года в год повышается количество выявленных и раскрытых преступлений в сфере компьютерной информации. Судьи учатся разбираться в делах, связанных с нарушением информационного законодательства и законодательства о связи. Вместе с тем некоторые виды нарушений становятся практически массовыми. Например, нарушения с использованием Интернета авторских прав на программы для ЭВМ, базы данных, на произведения науки, литературы и искусства.
Следующей задачей государства в сфере обеспечения информационной безопасности является разработка федеральных целевых программ (ФЦП) обеспечения информационной безопасности Российской Федерации. ФЦП должны быть направлены на обеспечение технологической независимости Российской Федерации в важнейших областях применения информационно-телекоммуникационных технологий, определяющих ее безопасность (в первую очередь в области создания образцов вооружения и военной техники), разработку современных методов и средств защиты информационно-телекоммуникационных технологий (прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами).
|
|
|
Состояние информационной безопасности в России характеризуется высоким уровнем технологической зависимости. Это касается как технических средств, так и программного обеспечения, в первую очередь системного. Такая зависимость в некоторых секторах государственного управления может создать угрозу национальной безопасности. Эта проблема осознается ведущими странами Европы и Азии, которые ищут альтернативу продукции Майкрософта в разработке национальных программных продуктов на основе систем с открытым кодом. Подобные разработки необходимы и России, заказчиком их, несомненно, должно быть государство.
Инструментом реализации государственной политики является также установление требований к тем или иным видам деятельности или используемым технологиям. В соответствии с положениями Конституции Российской Федерации эти требования должны устанавливаться только федеральными законами. Отдельные виды деятельности могут осуществляться в уведомительном или разрешительном порядке. В уведомительном порядке, например, может осуществляться деятельность удостоверяющих центров (см. Федеральный закон "Об электронной цифровой подписи") и операторов информационных систем персональных данных (см. Федеральный закон от 27 июля 2007 г. N 152-ФЗ "О персональных данных").
В разрешительном порядке осуществляются виды деятельности, которые подлежат лицензированию в соответствии с Федеральным законом от 8 августа 2001 г. N 128-ФЗ "О лицензировании отдельных видов деятельности". Этим законом устанавливается лицензирование девяти видов деятельности в области обеспечения информационной безопасности, четыре из которых касаются разработки и использования шифровальных (криптографических) средств. Также лицензированию подлежат деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, деятельность по разработке и (или) производству средств защиты конфиденциальной информации; разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.
|
|
|
Принятие Федерального закона "О персональных данных" заметно стимулировало процессы лицензирования деятельности по технической защите конфиденциальной информации (в данном случае персональных данных). Все организации, создающие информационные системы, содержащие персональные данные, понуждаются к лицензированию деятельности по их технической защите.
В соответствии с Федеральным законом "О персональных данных" Правительство Российской Федерации установило требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ([<анонимны17] постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"), требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных ([<анонимны18] постановление Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении Требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"). В развитие Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 совместным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 был утвержден Порядок проведения классификации информационных систем персональных данных. Также во исполнение п. 2 этого Постановления Федеральной службой безопасности Российской Федерации утверждены Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных и Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Документы предоставляются оператору по его запросу. Одновременно во исполнение того же пункта Постановления Федеральной службой по техническому и экспортному контролю в пределах ее компетенции утвержден пакет методических документов, определяющих базовую модель угроз безопасности персональных данных, рекомендации по обеспечению безопасности, а также основные мероприятия по организации и техническому обеспечению безопасности персональных данных при их обработке в соответствующих информационных системах. Указанные документы носят методический, рекомендательный характер и призваны помочь оператору информационной системы персональных данных выстроить грамотную систему защиты таких данных.
|
|
|
Среди важнейших функций государства в области обеспечения информационной безопасности следует отметить взаимодействие с международными и зарубежными органами и организациями в процессах формирования системы международной информационной безопасности, создания и использования глобальных информационных сетей и систем.
Определяющую роль играет государство в создании единой системы подготовки кадров в области информационной безопасности и информационных технологий. Несмотря на то что большое количество высших учебных заведений готовят специалистов в указанных областях, работодатели все чаще сетуют на недостаточную подготовку выпускников. По-видимому, быстрое развитие информационных технологий, появление новых информационных угроз, необходимость оперативного реагирования на них при создании систем защиты требуют постоянного совершенствования учебных программ, создания системы переподготовки кадров, повышения квалификации, новых подходов к организации производственной практики студентов.
Понятие информационной безопасности в соответствии с Доктриной информационной безопасности Российской Федерации носит достаточно общий характер, оно включает как защиту информации, так и, образно говоря, защиту от информации, а также защиту информационных сетей и систем, защиту прав и свобод, связанных с информацией (в том числе прав на доступ к информации, интеллектуальных прав, свободы массовой информации). Такое многообразие задач затрудняет координацию усилий различных органов власти, полномочия которых так или иначе распространяются на регулирование информационной сферы.
Далее о роли государства в области защиты информации. Общие положения по защите информации устанавливает Федеральный закон "Об информации..." (ст. 16). Закон рассматривает защиту информации как комплекс "правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации".
Последняя цель на первый взгляд не имеет отношения к защите информации. Но это не так. Защищать необходимо не только информацию ограниченного доступа, но и открытую информацию, доступ к которой должен быть неограничен. Это также задача государства в отношении информации, предоставляемой для всеобщего сведения органами государственной власти и органами местного самоуправления.
Следующая категория защищаемой информации - это информация ограниченного доступа, находящаяся в любом режиме конфиденциальности. Но роль государства принципиально различна в обеспечении различных режимов.
Общедоступную информацию следует защищать от блокирования доступа, уничтожения, модификации (искажения). Информацию ограниченного доступа - от уничтожения, модификации, незаконного копирования, разглашения, незаконного доступа, незаконного использования.
Кто должен защищать информацию? Субъект, обязанный представлять публично (размещать в Сети) информацию о своей деятельности (обладатель информации). Обладатель информации, имеющий право ограничивать доступ к информации о себе или о своей деятельности. Субъект, обязанный защищать информацию, полученную им в режиме конфиденциальности от ее обладателя. Таким образом, в число этих субъектов входят государство, организации, физические лица. Иными словами, государство может выступать в качестве любого из указанных субъектов. Государство в лице органов исполнительной власти защищает предоставляемую для всеобщего сведения информацию. Государство защищает сведения, составляющие государственную тайну. Государство обязано защищать сведения конфиденциального характера, представляемые в органы государственной власти.
Где установлены соответствующие права и обязанности? По общему правилу они должны быть установлены законом либо вытекать из закона. В отношении открытой информации такого закона нет. Предполагается, что соответствующие положения будут включены в [<анонимны19] проект Федерального закона "Об обеспечении доступа к информации о деятельности органов государственной власти и органов местного самоуправления" (находился на рассмотрении Государственной Думы).
В отношении информации ограниченного доступа, напротив, многообразие законов. В российском законодательстве исследователи насчитали более 40 видов тайн. При определении роли государства в реализации и защите различных режимов тайн можно опираться на концепцию, которая предусматривает классификацию тайн по способу их образования:
- первичные (естественные) тайны, которые непосредственно связаны с жизнедеятельностью субъекта;
- производные тайны, которые связаны с защитой информации другого субъекта, получаемой в режиме тайны.
В состав первичных тайн входят: личная и семейная тайны - тайна физического лица; коммерческая тайна - тайна юридического лица, осуществляющего предпринимательскую деятельность; государственная и служебная (в части внутрисистемной информации) тайны - тайна государства, в том числе в лице органа государственной власти. Информация, составляющая служебную тайну, включает в себя:
- информацию, создаваемую (генерируемую) в органе государственной власти, доступ к которой временно ограничен в интересах государственного управления по решению руководителя;
- информацию ограниченного доступа, представляемую в этот орган в режиме конфиденциальности.
В состав производных тайн входят:
- профессиональные тайны, когда информация передается субъекту профессиональной деятельности от физических лиц в режиме личной или семейной тайны (врачебная тайна, тайна исповеди, тайна банковских вкладов, тайна усыновления, налоговая, нотариальная и др.) либо от юридических лиц в режиме коммерческой тайны (налоговая, банковская, нотариальная и др.);
- служебная тайна в части переданной в органы власти от физических и юридических лиц информации ограниченного доступа.
Принципиальное различие этих категорий тайн состоит в том, что для первичных тайн у субъектов есть право на установление режима конфиденциальности, а для производных тайн у лица, которому доверена информация ограниченного доступа, возникает обязанность устанавливать соответствующий режим конфиденциальности.
Максимальный объем регулирования со стороны государства приходится на государственную и служебную тайны.
В отношении других видов первичных тайн государство должно уступить право основного регулятора тем субъектам, которые образуют (устанавливают) эти режимы. Задача государства - обеспечить защиту их прав и интересов с учетом интересов других субъектов.
Государство законодательно устанавливает для первичных тайн:
- ограничения на введение режима тайны для информации, к которой есть общественный интерес;
- обязанность и условия предоставления информации ограниченного доступа другим лицам, в том числе в органы государственной власти для осуществления государственного управления и отправления правосудия;
- в отдельных случаях - требования к используемым средствам защиты конфиденциальной информации или ограничения на использование таких средств;
- в отдельных случаях - требования к субъектам, обеспечивающим защиту информации, составляющей тайну;
- меры ответственности за нарушение конфиденциальности информации.
В частности, для защиты государственной тайны законодательно установлены:
- сведения, не подлежащие отнесению к государственной тайне и засекречиванию;
- порядок отнесения сведений к государственной тайне и порядок засекречивания, с учетом ограничения прав обладателя на эту информацию;
- порядок передачи сведений, составляющих государственную тайну, другим субъектам (даже государствам);
- порядок допуска к соответствующим сведениям, включающий требование лицензирования деятельности, связанной с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, осуществлением мероприятий или оказанием услуг по защите государственной тайны, сертификацию средств защиты информации;
- ответственность за разглашение и другие нарушения режима государственной тайны.
Для других первичных тайн (прежде всего для коммерческой тайны) государство не вправе устанавливать:
- жесткий порядок отнесения сведений к коммерческой тайне и порядок введения режима коммерческой тайны;
- порядок передачи сведений, составляющих коммерческую тайну, другим субъектам, за исключением органов власти;
- требования лицензирования деятельности, связанной с использованием сведений, составляющих коммерческую тайну;
- требование использования сертифицированных средств защиты информации, составляющей коммерческую тайну.
Государством могут быть установлены только минимальные разумно достаточные требования, необходимые для защиты прав обладателя коммерческой тайны, или приняты рекомендации. Требование лицензирования может относиться только к деятельности организаций, оказывающих услуги по защите коммерческой тайны.
Государство законодательно устанавливает для производных тайн:
- обязанность лиц, которым доверена информация, составляющая первичные тайны, обеспечивать ее конфиденциальность;
- меры ответственности за нарушение конфиденциальности доверенной информации;
- условия предоставления доверенной информации третьим лицам;
- в отдельных случаях требования к используемым средствам защиты конфиденциальной информации или ограничения на использование таких средств.
В соответствии с Федеральным законом "Об информации..." персональные данные не отнесены в явной форме к категории конфиденциальной информации. Собственно, и категория такая в базовом Законе отсутствует.
Во-первых, далеко не все персональные данные являются конфиденциальными.
Во-вторых, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа. Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме коммерческой или профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг. В режиме личной тайны - сведения об особенностях личности, ее пристрастиях, привычках, интересах. Однако место этих данных не определено. Закон ограничился отсылочной нормой.
Учитывая вышесказанное, можно утверждать, что персональные данные - это вид сведений, непосредственно связанных с личностью и позволяющих ее идентифицировать, но не режим тайны. Законодательное регулирование сбора и использования персональных данных обусловлено защитой неприкосновенности частной жизни как базового конституционного принципа.
Таким образом, мы обозначили основные функции государства в сфере обеспечения информационной безопасности и убедились в том, что поле деятельности огромно, хотя бы потому, что проблемы информационной безопасности в той или иной мере касаются каждого человека, общества в целом, государственных институтов. Вместе с тем деятельность государства требует осмысления и совершенствования в целях создания благоприятных условий для использования информационных и коммуникационных технологий во всех сферах жизни, защиты интересов личности, общества и государства при вхождении России в глобальное информационное общество.
5.2. Уголовно-правовая защита информации в ГАС "Выборы»
К числу угроз в области информационной безопасности отнесены как угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России, так и угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
В качестве закономерного развития положений Доктрины можно определить принятие [<анонимны20] Федерального закона от 10 января 2003 г. N 20-ФЗ "О Государственной автоматизированной системе Российской Федерации "Выборы". В нашей стране сложилась уникальная ситуация, связанная с применением ГАС "Выборы", которая за 4 - 5 часов способна собрать и обобщить данные бюллетеней со всех самых отдаленных районов страны.
Соответствие ГАС "Выборы" требованиям Доктрины информационной безопасности Российской Федерации наиболее полно раскрывается содержанием безопасности использования, эксплуатации и развития ГАС "Выборы", согласно требованиям Федерального закона "О Государственной автоматизированной системе Российской Федерации "Выборы", включает следующие принципы обеспечения безопасности информации:
- обеспечение безопасности информации в ГАС "Выборы" в сочетании с открытостью системы и доступностью информации, содержащейся в информационных ресурсах "ГАС "Выборы", в соответствии с федеральными законами;
- обеспечение достоверности информации, получаемой с использованием ГАС "Выборы";
- применение лицензионных программных средств общего назначения, сертифицированных специализированных программно-технических средств и средств связи ГАС "Выборы";
- недопустимость подключения ГАС "Выборы" к сети Интернет;
- выделение организационных и технических мер обеспечения безопасности;
- недопустимость подключения ГАС "Выборы" при ее использовании при проведении выборов и референдума к иным информационным системам и сетям связи, не применяемым в ГАС "Выборы". Государственная автоматизированная система Российской Федерации "Выборы" создана в целях автоматизации информационных процессов подготовки и проведения выборов и референдума в избирательной системе России, сокращения сроков подведения итогов голосования и затрат на проведение избирательных кампаний.
Между тем Положение об обеспечении безопасности информации в Государственной автоматизированной системе Российской Федерации "Выборы", утвержденное Постановлением Центральной избирательной комиссии Российской Федерации от 23 июля 2003 г. N 19/137-4, содержит определение единого порядка организации работы по обеспечению безопасности информации, а также исчерпывающий комплекс организационных, технических и правовых мер защиты. Поскольку Положение является обязательным для организаций, разрабатывающих, эксплуатирующих и обслуживающих ГАС "Выборы", и распространяется на все режимы ее использования, постольку к категории "неправомерное вмешательство в работу Государственной автоматизированной системы Российской Федерации "Выборы" следует относить умышленные действия, направленные на:
- нарушение обеспечения безопасности информации и несоблюдение основных мер по защите информации;
- несоблюдение мероприятий по обеспечению безопасности информации;
- нарушение порядка доступа к информационным ресурсам ГАС "Выборы";
- нарушение прав пользователей ГАС "Выборы";
- неисполнение обязанностей пользователей и специалистов ГАС "Выборы" по обеспечению безопасности информации;
– несоблюдение требований по обеспечению безопасности информации.
|
|
|
