Главная > Учебное пособие

1

Смотреть полностью

ПРАВОВЫЕ ОСНОВЫ

ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

Учебное пособие

Москва

Раздел 1. ОСНОВЫ НОРМАТИВНОГО ПРАВОВОГО

И МЕТОДОЛОГИЧЕСКОГО ОБЕСПЕЧЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Тема 1. Понятие, цель, структура и методы правового обеспечения информационной безопасности Российской Федерации

К числу важных научно-методологических проблем правового обеспечения информационной безопасности Российской Федераций относится раскрытие его содержания как направления деятельности государства, которое характеризуется целью, структурой и методами1.

1.1. Определение проблемы и понятия информационной безопасности.

Проблема информационной безопасности общества. Информационная безопасность является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки.

Проблема информационной безопасности обусловлена возрастающей ролью информации в общественной жизни. Современное общество все более приобретает черты информационного общества.

С понятием «информационная безопасность» в различных контекстах связаны различные определения. Так, в Законе РФ «Об участии в международном информационном обмене» информационная безопасность определяется как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. Подобное же определение дается и в Доктрине информационной безопасности Российской Федерации, где указывается, что информационная безопасность характеризует состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Оба эти определения рассматривают информационная безопасность в национальных масштабах и поэтому имеют очень широкое понятие.

Наряду с этим характерно, что применительно к различным сферам деятельности так или иначе связанным с информацией понятие «информационная безопасность» принимает более конкретные очертания. Так, например, в «Концепции информационной безопасности сетей связи общего пользования Российской Федерации» даны два определения этого понятия.

1. Информационная безопасность — это свойство сетей связи общего пользования противостоять возможности реализации нарушителем угрозы информационной безопасности.

2. Информационная безопасность — свойство сетей связи общего пользования сохранять неизменными характеристики информационной безопасности в условиях возможных воздействий нарушителя.

Необходимо иметь в виду, что при рассмотрении проблемы информационной безопасности нарушитель необязательно является злоумышленником. Нарушителем информационной безопасности может быть сотрудник, нарушивший режим информационной безопасности или внешняя среда, например, высокая температура, может привести к сбоям в работе технических средств хранения информации и т.д.

Понятие “информационная безопасность”. Сформулируем следующее определение «информационной безопасности».

Информационная безопасность — это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.

Рассматривая информацию как товар можно сказать, что нанесение ущерба информации в целом приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и, как следствие, владелец технологии, а может быть и автор, потеряют часть рынка и т. д.

С другой стороны, рассматривая информацию как субъект управления (технология производства, расписание движения транспорта и т. д.), можно утверждать, что изменение ее может привести к катастрофическим последствиям в объекте управления — производстве, транспорте и др.

Именно поэтому при определении понятия «информационная безопасность» на первое место ставится защита информации от различных воздействий.

Поэтому под защитой информации понимается комплекс мероприятий, направленных на обеспечение информационной безопасности.

Согласно ГОСТу 350922-96 защита информации — это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Решение проблемы информационной безопасности, как правило, начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Это обусловлено тем, что для разных категорий субъектов характер решаемых задач может существенно различаться. Например, задачи решаемые администратором локальной сети по обеспечению информационной безопасности, в значительной степени отличаются от задач, решаемых пользователем на домашнем компьютере, не связанном сетью.

Исходя из этого, отметим следующие важные выводы:

1) задачи по обеспечению информационной безопасности для разных категорий субъектов могут существенно различаться;

2) информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации — это принципиально более широкое понятие.

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий — области, развивающейся беспрецедентно высокими темпами. В области информационной безопасности важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие, как минимум, адекватно реагировать на угрозы информационной безопасности или предвидеть новые угрозы и уметь им противостоять.

В ряде случаев понятие «информационная безопасность» подменяется термином «компьютерная безопасность». В этом случае информационная безопасность рассматривается очень узко, поскольку компьютеры только одна из составляющих информационных систем. Несмотря на это, в рамках изучаемого курса основное внимание будет уделяться изучению вопросов, связанных с обеспечением режима информационной безопасности применительно к вычислительным системам, в которых информация хранится, обрабатывается и передается с помощью компьютеров.

Согласно определению, компьютерная безопасность зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электроснабжения, жизнеобеспечения, вентиляции, средства коммуникаций, а также обслуживающий персонал.

Задачи информационной безопасности общества. Анализ основ информационной безопасности показал, что обеспечение безопасности является задачей комплексной. С одной стороны режима информационной, информационная безопасность предполагает, как минимум, обеспечение трех ее составляющих — доступность, целостность и конфиденциальность данных. И уже с учетом этого проблему информационной безопасности следует рассматривать комплексно. С другой стороны, информацией и информационными системами в буквальном смысле «пронизаны» все сферы общественной деятельности и влияние информации на общество все нарастает, поэтому обеспечение информационной безопасности также требует комплексного подхода.

В этой связи вполне закономерным является рассмотрение проблемы обеспечения информационной безопасности на нескольких уровнях, которые в совокупности обеспечивали бы защиту информации и информационных систем от вредных воздействий, наносящих ущерб субъектам информационных отношений.

Рассматривая проблему информационной безопасности в широком смысле, можно отметить, что в этом случае речь идет об информационной безопасности всего общества и его жизнедеятельности, при этом на информационную безопасность возлагается задача по минимизации всех отрицательных последствий от всеобщей информатизации и содействия развитию всего общества при использовании информации как ресурса его развития.

В этой связи основными задачами информационной безопасности в широком смысле являются:

1) защита государственной тайны, т. е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения;

2) защита прав граждан на владение, распоряжение и управление принадлежащей им информацией;

3) защита прав предпринимателей при осуществлении ими коммерческой деятельности;

4) защита конституционных прав граждан на тайну переписки, переговоров, личную тайну.

Рассматривая проблему информационной безопасности в узком смысле, отметим, что в этом случае речь идет о совокупности методов и средств защиты информации и ее материальных носителей, направленных на обеспечение целостности, конфиденциальности и доступности информации.

Исходя из этого, выделим следующие задачи информационной безопасности:

1) защита технических и программных средств информатизации от ошибочных действий персонала и техногенных воздействий, а также стихийных бедствий;

2) защита технических и программных средств информатизации от преднамеренных воздействий.

Заметим, что понятие «компьютерная безопасность», которому посвящена большая часть данного курса, как раз подходит под определение информационной безопасности в узком смысле, но не является полным ее содержанием, поскольку информационные системы и материальные носители информации связаны не только с компьютерами.

Уровни формирования режима информационной безопасности. С учетом изложенного выделим три уровня формирования режима информационной безопасности:

1) законодательно-правовой;

2) административный (организационный);

3) программно-технический.

Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус. Кроме того, к этому уровню относятся стандарты и спецификации в области информационной безопасности. Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты и ответственности субъектов информационных отношений. К этому уровню можно отнести и морально-этические нормы поведения, которые сложились традиционно или складываются по мере распространения вычислительных средств в обществе. Морально-этические нормы могут быть регламентированными в законодательном порядке, т. е. в виде свода правил и предписаний. Наиболее характерным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США. Тем не менее, эти нормы большей частью не являются обязательными, как законодательные меры.

Административный уровень включает комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации. Организационный уровень должен охватывать все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

Программно-технический уровень включает три подуровня: физический, технический (аппаратный) и программный. Физический подуровень решает задачи с ограничением физического доступа к информации и информационным системам, соответственно к нему относятся технические средства, реализуемые в виде автономных устройств и систем, не связанных с обработкой, хранением и передачей информации: система охранной сигнализации, система наблюдения, средства физического воспрепятствования доступу (замки, ограждения, решетки и т. д.).

Средства защиты аппаратного и программного подуровней непосредственно связаны с системой обработки информации. Эти средства либо встроены в аппаратные средства обработки, либо сопряжены с ними по стандартному интерфейсу. К аппаратным средствам относятся схемы контроля информации по четности, схемы доступа по ключу и т. д. К программным средствам защиты, образующим программный подуровень, относятся специальное программное обеспечение, используемое для защиты информации, например антивирусный пакет и т. д. Программы защиты могут быть как отдельные, так и встроенные. Так, шифрование данных можно выполнить встроенной в операционную систему файловой шифрующей системой EFS (Windows 2000, XP) или специальной программой шифрования.

Подчеркнем, что формирование режима информационной безопасности является сложной системной задачей, решение которой в разных странах отличается по содержанию и зависит от таких факторов, как научный потенциал страны, степень внедрения средств информатизации в жизнь общества и экономику, развитие производственной базы, общей культуры общества и, наконец, традиций и норм поведения.

1.2.Цель правового обеспечения информационной безопасности. Известно, что общая цель права заключается в создании условий для реализации свободы человека, в противодействии произволу и насилию в отношении его как со стороны других людей, общественных организаций, так и государства. Как отметил С.С. Алексеев, «именно право по своей исходной сути представляет собой образование из жизни людей, которое логически и исторически предназначено быть институтом, призванным реализовывать свободу каждого человека, придавать ей определенность и обеспеченность, а отсюда — истинно человеческую ценность»2.

Произвол и насилие особенно опасны в информационной сфере, т.к. осуществляются в отношении одного из основных условий жизни человека и общества — информации. Произвол и насилие составляют основное содержание угроз безопасности информации, информационной инфраструктуры, правового статуса субъектов информационной сферы, и их проявление сопряжено с нанесением вреда социальным интересам личности, интересам общества или государства.

Противодействие угрозам безопасности объектов национальных интересов в информационной сфере правовыми средствами является основной целью правового обеспечения информационной безопасности, включает ликвидацию угроз и минимизацию ущерба от проявления угроз, достигаемую посредством предупреждения, пресечения или минимизации последствий проявления этих угроз.

Ликвидация угроз как цель функционирования правового механизма обеспечения информационной безопасности заключается в создании таких условий взаимодействия личности, общества и государства с источниками угроз, при которых это взаимодействие из стадии дисгармонии или конфликта переходит в стадию гармонии. Эта цель достигается посредством оказания правового воздействия, направленного на изменение содержания интересов субъектов, выступающих в качестве либо источника, либо средства реализации угроз, на ликвидацию средств осуществления угроз, имеющихся в их распоряжении, а также на обеспечение неотвратимости претерпевания ими определенного ущемления их интересов в случае обнаружения признаков подготовки к реализации угрозы.

На достижение подобных целей направлена деятельность по обеспечению безопасности международного сообщества и Российской Федерации. Так, для ликвидации угрозы применения Ираком оружия массового поражения, других угроз интересам международного сообщества, ООН создала правовые условия для принуждения Ирака к добровольному разоружению или разоружению в условиях использования для этого международных вооруженных сил. В целях ликвидации угрозы вооруженного разрешения конфликтного взаимодействия с сепаратистским политическим руководством Чеченской Республики, угроз другим национальным интересам в 1996-2000 гг. Российской Федерацией были созданы правовые условия сначала для наведения в Чеченской Республике конституционного порядка с использованием вооруженных сил, затем — для обеспечения независимого, автономного существования Чеченской Республики в рамках Российской Федерации и, наконец, для уничтожения этих вооруженных банд и реализации политического процесса восстановления Чеченской Республики в качестве субъекта Российской Федерации.

Аналогичные цели могут возникать и в отношении правового противодействия угрозам национальным интересам в информационной сфере. Так, ликвидация угрозы монополизации средств массовой информации может достигаться посредством правового запрета некоторым субъектам информационной сферы учреждения средств массовой информации, если при этом нарушаются принципы добросовестной конкуренции в распространении массовой информации на территории Российской Федерации. Ликвидация угрозы нарушения правового статуса человека и гражданина в информационной сфере со стороны органов государственной власти может достигаться посредством интернационализации процедуры рассмотрения которых конфликтных ситуаций в этой области, при которой соответствующие дела подведомственны как национальным, так и международным судебным органам, обладающим полномочиями применения к виновным должностным лицам установленной юридической ответственности.

В то же время в отношении значительного числа угроз безопасности объектов национальных интересов в информационной сфере постановка цели их ликвидации не всегда представляется возможной, ввиду отсутствия необходимых для ее достижения социальных, политических, экономических и других ресурсов. В этих случаях цель функционирования правовых механизмов противодействия угрозам может заключаться в предупреждении и пресечении проявления этих угроз, а также минимизации последствий их проявления.

Предупреждение проявления угроз заключается в создании условий, при которых вероятность проявления этих угроз существенно снижается. Это достигается в тех случаях, когда существенно снижается ожидаемый от реализации угроз политический, экономический, социальный или иной эффект вследствие либо возможности применения к субъектам, посредством действий которых реализуются угрозы, достаточной меры юридической ответственности, либо повышения защищенности объектов угроз. Так, угроза уничтожения документов, имеющих важное значение для сохранения и развития нации, может быть в существенной степени предупреждена путем установления особого правового режима данных документов, определяющего порядок их хранения и доступа к ним, а также возможности применения достаточной меры юридической ответственности к лицам, виновно нарушающим этот режим.

Пресечение проявления угроз направлено на выявление фактов проявления угроз и принятие мер по прекращению негативного воздействия на объект национальных интересов в информационной сфере. Так, пресечение проявления угрозы осуществления компьютерных преступлений как цель правового обеспечения информационной безопасности заключается в создании условий, при которых надежно и оперативно может быть установлен факт начала противоправного деяния, субъект этого деяния, зафиксированы в требуемой для представления в судебные органы форме признаки объективной и субъективной составляющих преступления и приняты меры для прекращения противоправного деяния.

Минимизация последствий проявления угроз заключается в создании правовых условий для уменьшения причиняемого ущерба, а также для ликвидации, если это возможно, последствий проявления угроз. Это может быть достигнуто путем правого закрепления требований к защищенности данных объектов, а также установления порядка возмещения субъектами, причинившими ущерб, средств, затраченных на ликвидацию последствий проявления угроз. Так, минимизация последствий проявления угроз безопасности функционирования критически важных объектов национальной информационной инфраструктуры может быть достигнута правовым закреплением регламентов, устанавливающих требования по сертификации технического и программного обеспечения этих объектов, организации системы управления безопасностью, а также процедуры контроля уровня их реальной защищенности и ответственности должностных лиц за соблюдение регламентов и предписаний контролирующих органов.

Определение целей правового обеспечения информационной безопасности осуществляется на основе анализа характеристик объектов безопасности и угроз, а также возможности оказания эффективного правового воздействия на общественные отношения, посредством которых угрозы проявляются.

1.3. Правовые основы информационной безопасности общества. Законодательные меры в сфере информационной безопасности направлены на создание в стране законодательной базы, упорядочивающей и регламентирующей поведение субъектов и объектов информационных отношений, а также определяющей ответственность за нарушение установленных норм.

Работа по созданию нормативной базы предусматривает разработку новых или корректировку существующих законов, положений, постановлений и инструкций, а также создание действенной системы контроля за исполнением указанных документов. Необходимо отметить, что такая работа в последнее время ведется практически непрерывно, поскольку сфера информационных технологий развивается стремительно, соответственно появляются новые формы информационных отношений, существование которых должно быть определено законодательно.

Законодательная база в сфере информационной безопасности включает пакет Федеральных законов, Указов Президента РФ, постановлений Правительства РФ, межведомственных руководящих документов и стандартов.

Основополагающими документами по информационной безопасности в РФ являются Конституция РФ и Концепция национальной безопасности.

В Конституции РФ гарантируется «тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений» (ст. 23, ч.2), а также «право свободно искать, получать, передавать, производить и распространять информацию любым законным способом» (ст. 29, ч.4). Кроме этого, Конституцией РФ «гарантируется свобода массовой информации» (ст. 29, ч.5), т. е. массовая информация должна быть доступна гражданам.

Концепция национальной безопасности РФ, введенная указом Президента РФ №24 в январе 2000 г., определяет важнейшие задачи обеспечения информационной безопасности Российской Федерации:

1) реализация конституционных прав и свобод граждан Российской Федерации в сфере информационной деятельности;

2) совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;

3) противодействие угрозе развязывания противоборства в информационной сфере.

Для обеспечения прав граждан в сфере информационных технологий и решения задач информационной безопасности, сформулированных в Концепции национальной безопасности РФ, разработаны и продолжают разрабатываться и совершенствоваться нормативные документы в сфере информационных технологий.

1.3.1. Основные положения важнейших законодательных актов РФ в области информационной безопасности и защиты информации

Закон Российской Федерации от 21 июля 1993 года №5485-1 «О государственной тайне» с изменениями и дополнениями, внесенными после его принятия, регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

В Законе определены следующие основные понятия:

государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

носители сведений, составляющих государственную тайну, — материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;

система защиты государственной тайны — совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;

доступ к сведениям, составляющим государственную тайну — санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;

гриф секретности — реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;

средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Законом определено, что средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Организация сертификации средств защиты информации возлагается на Государственную техническую комиссию при Президенте Российской Федерации, Федеральную службу безопасности Российской Федерации, Министерство обороны Российской Федерации в соответствии с функциями, возложенными на них законодательством Российской Федерации.

Закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 года №24-ФЗ — является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.

Основными задачами системы защиты информации, нашедшими отражение в Законе «Об информации, информатизации и защите информации», являются:

1) предотвращение утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т. п., вмешательства в информацию и информационные системы;

2) сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки данных, установленных собственником или уполномоченным им лицом;

3) сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации;

4) обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных;

5) сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами;

6) соблюдение прав авторов программно-информационной продукции, используемой в информационных системах.

В соответствии с законом:

1) информационные ресурсы делятся на государственные и негосударственные (ст. 6, ч. 1);

2) государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа (ст. 10, ч. 1);

3) документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (ст. 10, ч. 2).

Закон определяет пять категорий государственных информационных ресурсов:

1) открытая общедоступная информация во всех областях знаний и деятельности;

2) информация с ограниченным доступом:;

3) информация, отнесенная к государственной тайне;

4) конфиденциальная информация;

5) персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом).

Статья 22 Закона «Об информации, информатизации и защите информации» определяет права и обязанности субъектов в области защиты информации. В частности, пункты 2 и 5 обязывают владельца информационной системы обеспечивать необходимый уровень защиты конфиденциальной информации и оповещать собственников информационных ресурсов о фактах нарушения режима защиты информации.

Следует отметить, что процесс законотворчества идет достаточно сложно. Если в вопросах защиты государственной тайны создана более или менее надежная законодательная система, то в вопросах защиты служебной, коммерческой и частной информации существует достаточно много противоречий и «нестыковок».

При разработке и использовании законодательных и других правовых и нормативных документов, а также при организации защиты информации важно правильно ориентироваться во всем блоке действующей законодательной базы в этой области.

Проблемы, связанные с правильной трактовкой и применением законодательства Российской Федерации, периодически возникают в практической работе по организации защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к информации и от воздействий на нее при обработке в технических средствах информатизации, а также в ходе контроля эффективности принимаемых мер защиты.

1.3.2. Ответственность за нарушения в сфере информационной безопасности

Немаловажная роль в системе правового регулирования информационных отношений отводится ответственности субъектов за нарушения в сфере информационной безопасности.

Основными документами в этом направлении являются:

1) Уголовный кодекс Российской Федерации.

2) Кодекс Российской Федерации об административных правонарушениях.

В принятом в 1996 г. Уголовном кодексе Российской Федерации, как наиболее сильнодействующем законодательном акте по предупреждению преступлений и привлечению преступников и нарушителей к уголовной ответственности, вопросам безопасности информации посвящены следующие главы и статьи:

  1. Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

  2. Статья 140. Отказ в предоставлении гражданину информации.

  3. Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну.

  4. Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей.

  5. Статья 283. Разглашение государственной тайны.

  6. Статья 284. Утрата документов, содержащих государственную тайну.

Особое внимание уделяется компьютерным преступлениям, ответственность за которые предусмотрена в специальной 28 главе кодекса «Преступления в сфере компьютерной информации». Глава 28 включает следующие статьи:

  1. Статья 272. Неправомерный доступ к компьютерной информации.

    1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

    2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, — наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или другого дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

  2. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.

    1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, — наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

    2. Те же деяния, повлекшие по неосторожности тяжкие последствия, — наказываются лишением свободы на срок от трех до семи лет.

  3. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

    1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, — наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

То же деяние, повлекшее по неосторожности тяжкие последствия, — наказывается лишением свободы на срок до четырех лет.

1.4. Структура правового обеспечения информационной безопасности как вида деятельности. В структуре правового обеспечения информационной безопасности как вида деятельности выделяются:

1) нормативное правовое обеспечение информационной безопасности;

2) правовое обеспечение информационной безопасности как направление юридической науки;

3) правовое обеспечение информационной безопасности как система учебных курсов, используемых в процессе подготовки кадров для деятельности в области противодействия угрозам информационной безопасности.

1.4.1.Нормативное правовое обеспечение информационной безопасности. Механизмы правового регулирования отношений в области противодействия угрозам безопасности объектов национальных интересов в информационной сфере реализуются посредством нормативного правового обеспечения информационной безопасности и правоприменительной практики, осуществляемой уполномоченными органами исполнительной власти.

Нормативное правовое обеспечение образуется совокупностью правовых институтов и норм, регулирующих отношения, связанные с проявлением угроз нанесения вреда объектам национальных интересов в информационной сфере и, как следствие, с ущемлением социальных интересов личности, общества и государства. Оно определяет «потенциальную» эффективность правового регулирования в этой области, т. е. способность создать субъектам ее обеспечения необходимые условия для недопущения нанесения вреда объектам национальных интересов в информационной сфере. С этой точки зрения нормативное правовое обеспечение может рассматриваться как «идеальное» правовое обеспечение.

В зависимости от объекта обеспечения информационной безопасности в составе нормативного правового обеспечения выделяются четыре составляющих:

1) нормативное правовое обеспечение безопасности информации в форме сведений;

2) нормативное правовое обеспечение безопасности информации в форме сообщений;

3) нормативное правовое обеспечение безопасности информационной инфраструктуры общества;

4) нормативное правовое обеспечение безопасности правового статуса субъектов информационной сферы.

Нормативное правовое обеспечение безопасности информации в форме сведений образуется совокупностью правовых институтов и норм, регулирующих отношения в области противодействия угрозам нанесения вреда свободе психической деятельности человека и субъективной значимости национальных культурных ценностей.

Нормативное правовое обеспечение безопасности информации в форме сообщений образуется совокупностью правовых институтов и норм, регулирующих отношения в области противодействия угрозам сохранности сообщений, являющихся важными для сохранения и развития нации как социальной общности. К их числу относятся, например, документы, хранящиеся в Фонде документов, составляющих культурную ценность Российской Федерации, включая документы Архивного фонда Российской Федерации, Музейного фонда Российской Федерации и библиотечного фонда.

Нормативное правовое обеспечение безопасности информационной инфраструктуры образуется совокупностью правовых институтов и норм, регулирующих отношения в области противодействия угрозам нарушения работоспособности и функционирования основных составляющих этой инфраструктуры — информационных и телекоммуникационных систем, сетей связи, системы массовой информации и т.п.

Нормативное правовое обеспечение безопасности правового статуса субъектов в информационной сфере образуется совокупностью правовых институтов и норм, регулирующих отношения в области противодействия угрозам ущемления прав человека и гражданина, организаций и учреждений, органов государственной власти на осуществление информационной деятельности, неисполнения им возложенных обязанностей в области этой деятельности и, как следствие, нанесения ущерба деятельности по реализации социальных интересов личности, интересов общества и государства.

Нормативное правовое обеспечение информационной безопасности закрепляется в системе нормативных правовых актов, выступающих в качестве источников права и образующих его внешнюю форму3. К числу таких источников права относятся Конституция Российской Федерации, международные договоры Российской Федерации, федеральные законы, нормативные правовые акты Президента Российской Федерации, подзаконные акты Правительства Российской Федерации, а также нормативные правовые акты законодательной и исполнительной властей субъектов Российской Федерации, принятые по вопросам, отнесенным к их компетенции. Кроме того, к источникам права в этой области относятся решения Конституционного Суда Российской Федерации, а также разъяснения Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации.

При рассмотрении нормативного правового обеспечения информационной безопасности представляется важным определить его место в системе объективного права и системе законодательства.

В системе объективного права, по мнению специалистов, нормативное правовое обеспечение информационной безопасности является одной из составляющих информационного права. Так, В.Н. Лопатин полагает, что «поскольку отношения, возникающие в связи с обеспечением информационной безопасности, относятся как к информационной сфере, так и к сфере обеспечения национальной безопасности, можно считать, что право в области обеспечения информационной безопасности — это подотрасль информационного права, представляющая собой совокупность правовых норм, регулирующих общественные отношения по защите национальных интересов в информационной сфере (жизненно важных интересов личности, общества и государства на сбалансированной основе) от угроз»4. Близкую позицию занимает В.А. Копылов, который рассматривает нормативное правовое обеспечение информационной безопасности в качестве отдельной составляющей информационного права и выделяет в ней «три основных направления правовой защиты объектов в информационной сфере: защиту чести, достоинства и деловой репутации граждан и организаций; духовности и интеллектуального уровня развития личности, нравственных и эстетических идеалов, стабильности и устойчивости развития общества, информационного суверенитета и целостности государства; защиту информации и информационных ресурсов, а также информационных систем, информационных технологий, средств связи и телекоммуникаций; защиту информационных прав и свобод личности»5.

В системе законодательства нормативное правовое обеспечение информационной безопасности рассматривают в качестве составляющей информационного законодательства. Так, И.Л. Бачило, формулируя перечень условно выделенных блоков проблем информационного законодательства, включает в него информационную безопасность и полагает, что она «аккумулирует проблемы защиты открытой информации, охраны государственной тайны, обеспечения защиты информации ограниченного доступа, кроме государственной тайны, страхование информации, информационных ресурсов, а также реализует все направления правового регулирования в соответствии с доктриной информационной безопасности личности, общества и государства»6. Т.А. Полякова полагает, что нормативное правовое обеспечение информационной безопасности является подразделом информационного законодательства7.

По мнению автора, такое определение места нормативного правового обеспечения информационной безопасности в системе права и системе законодательства не вполне обосновано.

С одной стороны, нормативное правовое обеспечение информационной безопасности в целом ряде случаев, безусловно, развивает механизмы правового регулирования отношений, составляющих предмет информационного права, который, как было показано ранее8, образуется совокупностью общественных отношений, возникающих в процессе взаимодействия с целью удовлетворения интересов субъектов в обладании необходимой информацией, в передаче части имеющейся информации другим субъектам, в сохранении оставшейся части информации неизвестной им. Наличие особого предмета правового регулирования, по мнению специалистов9, выделяет информационное право в самостоятельную комплексную отрасль права, в которой не формируется самостоятельный метод правового регулирования в полном смысле этого слова. В ней аккумулируются все методы правового воздействия, используемые в пределах ее предмета. Ряд институтов и норм, составляющих основное содержание нормативного правового обеспечения информационной безопасности, направлены на регулирование «информационных» отношений, и, видимо, могут рассматриваться в качестве элементов информационного права, а закрепляющие их нормативные правовые акты — в качестве составляющих информационного законодательства.

С другой стороны, ряд норм, образующих нормативное правовое обеспечение информационной безопасности, развивает правовые механизмы, регулирующие общественные отношения, относящиеся к другим отраслям права, в том числе таких базовых отраслей как конституционное, гражданское, административное и уголовное право10. Отнесение этих норм к информационному праву отрывает их от родовых отраслей, чем создает сложности для развития, прежде всего, самого информационного права, поскольку включает в его предмет отношения, не являющиеся «информационными».

В связи с этим представляется целесообразным рассматривать правовое обеспечение информационной безопасности в качестве самостоятельного комплексного направления правового регулирования, осуществляемого в рамках реализации государственной политики в области обеспечения информационной безопасности. Оно образуется совокупностью институтов и норм информационного, конституционного, гражданского, административного и уголовного права, регулирующих отношения в области противодействия угрозам безопасности объектов национальных интересов в информационной сфере.

Возможно, что в перспективе оно станет составляющей еще не сформировавшегося права обеспечения национальной безопасности и соответствующего законодательства.

1.4.2. Научная составляющая правового обеспечения информационной безопасности. Важной составной частью структуры правового обеспечения информационной безопасности являются научные исследования отношений, составляющих его предмет, изучение правовой характеристики объектов национальных интересов в информационной сфере, способов проявления угроз этим объектам, правовых средств и механизмов, способных обеспечить противодействие угрозам, способов взаимодействия различных отраслей права в процессе функционирования механизмов правового регулирования отношений в данной предметной области, а также проведение сравнительных исследований методов правового регулирования аналогичных отношений в различных странах мира, вопросов взаимодействия национального права и международного права.

Эта часть правового обеспечения информационной безопасности развивалась преимущественно на основе публикаций периодических изданий, частично на монографических исследованиях и разработках курсов учебной литературы. Среди наиболее значимых работ следует назвать труды Ю.М. Батурина, И.Л. Бачило, В.Н. Лопатина, А.А. Фатьянова, В.А. Копылова, М.М. Рассолова, А.В. Морозова, Т.А. Поляковой, П.У. Кузнецова, М.А. Вуса, С.И. Семилетова и некоторых других.

В то же время развитие теории правового обеспечения информационной безопасности находится в начальной стадии и для его становления в качестве самостоятельной области научного исследования требуется проведение значительного объекта исследований. В связи с тем, что информационное право как научная дисциплина тоже находится в начале своего развития, эти исследования должны быть направлены как на изучение закономерностей использования правовых средств для регулирования отношений, связанных с информацией и составляющих предмет научных исследований в области информационного права, так и на изучение закономерностей использования правовых средств для противодействия угрозам безопасности национальных интересов в информационной сфере.

К числу актуальных научных задач правового обеспечения информационной безопасности относятся следующие.

Во-первых, разработка методов анализа правовых условий, способствующих проявлению угроз безопасности основным объектам национальных интересов в информационной сфере. Этот анализ предполагает изучение условий проявления угроз, механизмов правового регулирования отношений, связанных с этими объектами, выявление пробелов и противоречий в правовых нормах, а также причин недостаточной в ряде случаев эффективности правового регулирования отношений в рассматриваемой области.

Во-вторых, разработка методов конструирования эффективных правовых механизмов противодействия угрозам, обеспечивающих предупреждение их проявления, выявление фактов проявления угроз, пресечение действий, опосредующих угрозы, и ликвидацию последствий проявления угроз. В частности, представляется важной разработка методов повышения активности использования субъектами дозволений, отражающих меру предоставленной им свободы поведения, возможность требования исполнения корреспондирующих обязанностей и реализации притязаний, определения достаточной степени юридической ответственности, применяемой к лицам, нарушающим правовые установления и вследствие этого наносящим ущерб объектам национальных интересов в информационной сфере, обеспечения надлежащего исполнения возложенных на них обязанностей и т. п. Решение этой проблемы связано с определением системы правовых средств, способных оказать необходимое воздействие на субъектов регулируемых общественных отношений. Оно должно побудить их к участию в правоотношениях, возникающих в связи с существованием соответствующих правовых установлений, либо к активизации правоприменительной практики, связанной с реализацией правоотношений, возникающих вследствие возникновения условий или событий, предусмотренных установлениями.

В-третьих, разработка методов оценки эффективности правового обеспечения информационной безопасности, позволяющих установить реальную степень воздействия права на субъектов реализации угроз безопасности объектов национальных интересов в информационной сфере.

Научные знания в области правового обеспечения информационной безопасности позволяют, с одной стороны, повысить эффективность правового регулирования отношений в рассматриваемой области, а с другой — создать условия для подготовки кадров для субъектов обеспечения информационной безопасности.

1.4.3. Учебные дисциплины по правовому обеспечению информационной безопасности. Третьей составной частью правового обеспечения информационной безопасности являются результаты обобщения исследований и анализа законодательства по выделенным выше составляющих нормативного правового обеспечения и постановка на этой основе курсов учебных дисциплин.

Эти учебные курсы должны быть ориентированы на подготовку специалистов различного уровня подготовки и профиля специализации. По уровню подготовки различаются учебные курсы для лиц, получающих базовое образование, и для лиц, повышающих свою квалификацию (получающих дополнительное образование) или меняющих ее и уже обладающих тем или иным базовым высшим образованием. По профилю специализации различают учебные курсы для специалистов в области конституционного, информационного, гражданского, административного и уголовного права, которые должны знать механизмы правового противодействия угрозам безопасности объектов национальных интересов в информационной сфере, связанных с регулируемыми ими общественными отношениями.

1.5. Составляющие структуры правового обеспечения информационной безопасности. Как было отмечено выше, в структуре правового обеспечения информационной безопасности выделяются три основные составляющие: нормативное правовое обеспечение, научные исследования и учебные курсы. В основе каждой из этих составляющих лежат ключевые положения, определяющие их построение и функционирование, называемые принципами, и каждая из этих составляющих использует для решения стоящих перед ней задач определенные методы.

1.5.1. Принципы и методы нормативного правового обеспечения информационной безопасности. Принципы нормативного правового обеспечения информационной безопасности определяют общую основу составляющих его правовых институтов и норм, а методы — приемы юридического воздействия на соответствующие общественные отношения, их сочетание, характеризующие использование того или иного комплекса юридических средств. К принципам нормативного правового обеспечения информационной безопасности следует отнести: законность, целенаправленность, дополнительность, адекватность, полноту и непротиворечивость.

Принцип законности заключается в обеспечении соответствия правовых норм, составляющих правовое обеспечение информационной безопасности, Конституции Российской Федерации, общепринятым принципам и нормам международного права, международным договорам Российской федерации, федеральному законодательству.

Принцип целенаправленности заключается в использовании правовых средств, позволяющих достичь преследуемых государством целей противодействия угрозам безопасности объектов национальных интересов в информационной сфере.

Принцип дополнительности заключается в развитии механизмов правового регулирования общественных отношений, связанных с объектами национальных интересов в информационной сфере, посредством дополнения этих механизмов нормами, призванными противодействовать проявлению угроз безопасности данных объектов.

Принцип адекватности заключается в соответствии правовых средств воздействия на общественные отношения, посредством которых проявляются угрозы, социальной опасности этих угроз.

Принцип полноты заключается в охвате правовым регулированием всех наиболее важных общественных отношений, связанных с проявлением угроз безопасности и противодействием этим угрозам.

Принцип непротиворечивости заключается в согласованности правовых норм, регулирующих общественные отношения в рассматриваемой области, в отсутствии в этих нормах пробелов и противоречий.

Методы нормативного правового обеспечения информационной безопасности представляют собой способы использования правовых средств для противодействия угрозам безопасности объектов национальных интересов в информационной сфере. Они базируются на исходных, первичных методах, представляющих собой простейшие приемы регулирования: методе централизованного регулирования (субординации), при котором в основе регулирования лежат властно-императивные начала, предписывающие участникам отношений необходимость осуществления некоторых действий, и методе децентрализованного регулирования (координации), при котором источником правовой активности являются сами субъекты отношений11.

Эти методы создают основу отраслевых методов, выражающих особые юридические режимы регулирования. К ним в области нормативного правового обеспечения информационной безопасности относятся методы правового режима объекта безопасности, запрета, юридической ответственности, позитивного связывания и некоторые другие.

В целях стимулирования деятельности по реализации и применению права (т. е. активного использования субъектами своих прав и выполнения обязанностей, включая право требования и притязания, активной правоприменительной практики со стороны органов исполнительной власти, которая, в свою очередь, предполагает заинтересованность субъектов информационной сферы и должностных лиц в осуществлении этой деятельности) в правовом обеспечении информационной безопасности используются методы поощрения, убеждения и принуждения.

1.5.2. Принципы и методы правового обеспечения информационной безопасности как направления юридической науки. Принципы правового обеспечения информационной безопасности как направления юридической науки представляют собой совокупность основных положений, обеспечивающих получение достоверных научных знаний о предмете исследования, о закономерностях использования правовых средств противодействия угрозам безопасности объектов национальных интересов в информационной сфере, формах и методах правового противодействия угрозам. К числу таких принципов относятся общие принципы юридической науки12:

1) историзм, заключающийся в необходимости «изучения не только последовательно и неумолимо повторяющихся событий и процессов в истории права, по и правовых явлений единичных и тем не менее именно в силу своей единичности, а не универсальности, очень важных для понимания и определения права»13 вообще и правового обеспечения информационной безопасности, в частности;

2) системность, означающий необходимость взаимосвязанного рассмотрения всех составляющих правового обеспечения информационной безопасности, выявления основных ее структурных составляющих, элементов, анализа существующих между ними отношений, а также их взаимосвязи с реальными общественными отношениями;

3) объективность, означающий независимость научных выводов и положений от конъюнктуры и политической ангажированности.

Методы правового обеспечения информационной безопасности как направления юридической науки представляют собой способы, с помощью которых изучаются возникновение, функционирование и развитие правовых механизмов регулирования отношений в области противодействия угрозам безопасности объектам национальных интересов в информационной сфере. Они образуются совокупностью общенаучных методов, используемых в общественных науках, общих теоретико-правовых методов и специфических методов исследования нормативного правового обеспечения информационной безопасности. К общенаучным методам относятся, например: диалектический метод, заключающийся в рассмотрении предмета исследования с точки зрения основных законов диалектического знания (перехода количества в качество, единства и борьбы противоположностей, отрицания отрицания); исторический метод, заключающийся в учете при исследовании динамики изменения предмета на некотором достаточно длительном интервале времени; системный метод, заключающийся в исследовании предмета как целостной, упорядоченной совокупности компонентов, взаимодействие которых порождает новое, не присущее им качество; некоторые другие методы. К теоретико-правовым методам относятся: формально-логический, заключающийся в логическом анализе внутреннего строения правовых норм и институтов, отраслей права, его источников и позволяющий на этой основе осуществлять классификацию и систематизацию явлений правовой действительности, проводить исследование внешней и внутренней форм права; сравнительный метод, заключающийся в исследовании правовых механизмов, применяемых для регулирования однородных общественных отношений в различных, национальных системах права; метод изучения эффективности действия правовых норм, заключающийся в использовании социологических и статистических исследований правового поведения субъектов, и некоторые другие.

Специфические методы исследования правового обеспечения информационной безопасности включают методы:

1) толкования государственной политики в этой области;

2) систематизации правовых механизмов регулирования отношений в области проявления угроз безопасности объектов национальных интересов в информационной сфере и противодействия этим угрозам, а также систематизации законодательства, закрепляющего данные правовые механизмы;

3) анализа правовых норм, реализующих правовые механизмы регулирования отношений в области проявления угроз безопасности объектов национальных интересов в информационной сфере и противодействия этим угрозам;

4) определения приоритетных направлений совершенствования правовых механизмов и соответствующих правовых норм.

Методы толкования государственной политики в области обеспечения информационной безопасности призваны обеспечить, исходя из содержания политических и иных документов, определяющих основное содержание национальных интересов в информационной сфере и угроз безопасности этих интересов, обоснованное отграничение предметной области и цели правового обеспечения. Толкование государственной политики как и толкование права включает два основных элемента14: уяснение, т. е. раскрытие «для себя» содержания задач деятельности государства в рассматриваемой области, выбранных принципов и методов их выполнения, определение роли и места правового регулирования в этом процессе, и разъяснение, т. е. раскрытие целей и направлений правового обеспечения «для других».

Методы систематизации правовых механизмов регулирования отношений в области проявления угроз безопасности объектов национальных интересов в информационной сфере и противодействия им позволяют упорядочить совокупность используемых для этого правовых методов и средств.

Методы анализа правовых норм, закрепляющих рассматриваемые правовые механизмы, направлены на выяснение полноты охвата регулированием предметной области правового обеспечения и степени совершенства юридической техники нормативного закрепления юридических конструкций, используемых для противодействия угрозам безопасности объектов национальных интересов в информационной сфере.

Методы определения приоритетных направлений совершенствования правовых механизмов и соответствующих правовых норм позволяют выявить условия наиболее опасного проявления угроз, а также сформировать правовые конструкции, позволяющие обеспечить достижение целей правового обеспечения применительно к этим условиям, и закрепляющие их правовые нормы.

Выбор методов определяется целями и задачами научного исследования, общим уровнем научного знания в конкретной области, его возможностями, но, прежде всего, особенностями самого предмета научного исследования.

Система общенаучных методов, общих теоретико-правовых методов и специфических методов исследования средств правового регулирования отношений, возникающих вследствие проявления угроз безопасности объектов национальных интересов в информационной сфере, образует методологию правового обеспечения информационной безопасности.

Исследования правового обеспечения включают следующие основные этапы:

1) анализ правовых характеристик объекта национальных интересов в информационной сфере, в рамках которого выясняются вопросы правового закрепления объекта отношений, основные группы связанных с ним общественных отношений и механизмы их правового регулирования;

2) анализ содержания угрозы безопасности объектов национальных интересов, в рамках которого выясняются основные способы нанесения вреда этим объектам вследствие проявления угроз;

3) анализ правового обеспечения безопасности объектов, в рамках которого выясняется его предмет, а также цели, принципы и методы правового регулирования общественных отношений, составляющих данный предмет, закрепляющие их правовое нормы, их достаточность для эффективного противодействия угрозам безопасности объектов национальных интересов;

4) разработка предложений по совершенствованию правового обеспечения информационной безопасности, в рамках которой подготавливаются предложения по развитию правовых норм и механизмов, регулирующих отношения, возникающие вследствие проявления угроз безопасности объектам национальных интересов в информационной сфере, в целях повышения защищенности этих объектов.

Каждый из этих этапов предполагает использование своих методов исследования. Так, анализ правовых характеристик объекта национальных интересов в информационной сфере осуществляется с использованием метода дедукции, формально— логического метода и методов толкования норм права, анализ содержания угроз безопасности объектов национальных интересов осуществляется с использованием методов системного анализа, сравнительно-правового анализа и логического моделирования, анализ правового обеспечения безопасности объектов национальных интересов в информационной сфере осуществляется с использованием методов системного анализа и структурного моделирования, а разработка предложений по совершенствованию правовых механизмов противодействия угрозам — с использованием диалектического метода, метода системного анализа и формально-логического метода.

1.5.3. Принципы и методы правового обеспечения информационной безопасности как совокупности учебных курсов. Принципы правового обеспечения информационной безопасности как совокупности учебных курсов представляют собой совокупность основных положений, отражающих общий подход к развитию этого сектора системы образования. К числу таких принципов относятся:

1) подготовка специалистов по правовому обеспечению информационной безопасности на базе фундаментального юридического и достаточного технического образования при углубленном изучении основ тех отраслей права, которые являются для него базовыми: конституционного, гражданского, административного, информационного и уголовного права;

2) изучение в рамках учебных курсах основ философии, социологии, психологии, культурологии, политологии и информатики в объеме, достаточном для понимания роли и места информации, информационной инфраструктуры в жизни человека и общества, в реализации государственного управления, форм существования информации и особенностей ее обращения в обществе.

Методы правового обеспечения информационной безопасности как системы учебных курсов образуются совокупностью методов обучения учащихся, привития им навыков и оказания помощи в овладении знаниями, необходимыми для удовлетворения требованиям, предъявляемым к специалистам соответствующих специальностей.

Таким образом, правовое обеспечение информационной безопасности как вид деятельности направлено на противодействие угрозам безопасности основных объектов национальных интересов в информационной сфере. Структурно оно включает самостоятельное направление правового регулирования, самостоятельная область юридической науки и систему учебных курсов. Каждая из выделенных составляющих правового обеспечения информационной безопасности базируется на определенной системе принципов и используется для решения стоящих перед ней задач свойственную ей систему методов.15

Тема 2. Становление и развитие концептуальных правовых основ информационной безопасности в рамках Союзного государства Россия — Белоруссия

2.1. Зарождение концептуальных правовых основ информационной безопасности в период 1988-1993 годов. Во времена бывшего СССР проблемы безопасности традиционно рассматривались, прежде всего, в их военном и военно-техническом аспекте, в рамках концепции защиты рубежей. Сам термин информационная безопасность начал употребляться в 90-х годах. Первоначально вопросы информационной безопасности ассоциировались с безопасностью самой информации, защитой информации, в большей степени — с защитой государственной тайны.

Тезис о том, что информационная безопасность — это показатель состояния информационной культуры общества, вопрос о необходимости законодательного регулирования института секретности в нашей стране впервые поднял в прессе в 1988 году В.А. Рубанов. Уже в 1990 году на проходившей в Обнинске конференции «Безопасность информации» рассматривался первый проект закона «О защите информации». Вопросы информационных отношений в сфере научного творчества, доступа к информации, роли и места государственной секретности обсуждались научной общественностью на конференции «Свобода научной информации и охрана гостайн», проходившей в Библиотеке Академии наук в Ленинграде осенью 1991 года. Созданный по рекомендации этой конференции общественный Совет по свободе научной информации, членом которого был автор, сыграл определенную роль в пропаганде становления правового режима защиты государственной тайны в нашей стране.

В 1991 году Верховным Советом РСФСР была принята Декларация прав и свобод человека и гражданина, продекларировавшая право каждого на поиск, получение и свободное распространение информации и возможное законодательное ограничение этого права исключительно «в целях охраны личной, семейной, профессиональной, коммерческой, государственной тайны, а также нравственности». В феврале 1992 года, после распада СССР в Ленинграде Гостехкомиссией при Президенте была проведена научно-практическая конференция «Правовая информатизация России», намечены конкретные шаги по разработке и совершенствованию нормативно-правовой базы информационных отношений. К обсуждению этих вопросов подключилась деловая и вузовская общественность, ряд конференций и семинаров был проведен в Москве и в Санкт-Петербурге.

2.2. Гармонизация информационного законодательства. Первые шаги по гармонизации информационного законодательства в рамках ставших независимыми государств, ранее входивших в состав СССР, были предприняты в 1993 году. 23 мая 1993 года на одном из первых заседаний Межпарламентской Ассамблеи государств — участников Содружества Независимых государств был принят рекомендательный законодательный акт «О принципах регулирования информационных отношений в государствах — участниках Межпарламентской Ассамблеи». Этим актом преследовалась цель создания единых правовых условий для:

1) реализации прав граждан, организаций на информацию;

2) использования современных информационных технологий;

3) осуществления предпринимательской деятельности в этой сфере;

4) информационного обмена внутри государств и между государствами — участниками Межпарламентской Ассамблеи;

5) обеспечения защиты и конфиденциальности информации.

Принятие рекомендательного акта имело большое значение, поскольку национальное законодательство в этой сфере у государств Содружества в тот период практически отсутствовало. Данный рекомендательный законодательный акт закладывал основные принципы, на которых целесообразно создавать законы в области информационных отношений, был призван служить ориентиром при разработке национальных законодательств.

2.3. Базовые понятия информационной безопасности. В целях обеспечения единства юридической терминологии, однозначного понимания используемых терминов в ст. 2 рекомендательного акта приводились следующие определения понятий:

Информация — сведения о фактах, событиях, явлениях и процессах (независимо от формы их представления).

Информация с ограниченным доступом — информация, для которой установлен специальный режим хранения и использования.

Документ — зафиксированная на материальном носителе информация с указанием источника ее происхождения и других реквизитов в соответствии с установленными стандартами.

Информационная технология — организованная совокупность процессов, элементов, устройств или методов, используемых для обработки информации.

Правовой режим информации — нормативно установленные правила, определяющие степень открытости, порядок документирования, доступа, хранения, распространения и защиты информации, а также исключительные права на информацию.

Информационные отношения — отношения по поводу сбора, накопления, хранения и использования информации.

Основные принципы правового регулирования информационных отношений, определенные вышеназванным рекомендательным актом, включают в себя законодательное закрепление прав всех субъектов на свободный поиск, получение, использование и распространение информации; установление правового режима и правовых форм ее защиты, обеспечение доступности открытой информации.

Рекомендательный законодательный акт подразделил информацию на имеющую режим открытого либо ограниченного доступа (статья 6), определив при этом, что правовой режим конкретных видов информации устанавливается национальным законодательством либо на его основе законным владельцем информации.

В рекомендательном акте также был приведен перечень видов информации, доступ к которой не может быть ограничен. Это информация о чрезвычайных ситуациях, угрожающих безопасности и здоровью граждан, стихийных бедствиях, катастрофах и их последствиях; о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства и обеспечения правопорядка; о законодательных актах; о фактах нарушения законности государственными органами и их должностными лицами; о привилегиях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям; об имевших место политических преследованиях и репрессиях.

В национальном законодательстве этот перечень может быть изменен в зависимости от значимости той или иной информации. Например, в российском Законе «О государственной тайне», принятом 21 июля 1993 года приведен перечень сведений, доступ к которым не может быть ограничен. Этот перечень не только полностью включает в себя виды информации, перечисленные в статье 6 рекомендательного законодательного акта, но и расширен за счет включения в него иных видов информации.

Наряду с другими формами распространения информации рекомендательным законодательным актом предусмотрена возможность распространения информации в качестве товара в порядке и на условиях, установленных национальным законодательством.

2.4. Цель защиты информации. Законодательный рекомендательный акт содержит общие положения о защите информации. Защита информации осуществляется в целях:

1) предотвращения утечки, хищения, утраты, искажения, подделки, несанкционированных действий по ее уничтожению, модификации, копированию, блокированию информации и других форм незаконного вмешательства в информационные системы;

2) обеспечения конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в информационных системах;

3) обеспечения прав субъектов информационных отношений;

4) сохранения секретности (конфиденциальности) информации.

Развитие этих положений должно осуществляться на уровне национального законодательства.

В акт включена международно-правовая норма, в соответствии с которой в случае, если государство не имеет законодательства по защите информации или это законодательство не соответствует международным стандартам, другие государства могут наложить ограничения на передачу информации в это государство.

В целях защиты интересов потребителей предусмотрены лицензирование информационной деятельности и государственная система сертификации информационных систем, технологий и элементов. Объекты и виды информационной деятельности, подлежащие обязательному лицензированию и сертификации, определяются национальным законодательством.

2.5. Развитие и совершенствование законодательства о защите информации в странах Союзного государства в период 1993-2007 годов. В последующие годы в России и Беларуси принят ряд законов по вопросам информационных отношений и информатизации (например, федеральные законы «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене» — в России; законы «Об информатизации» и «Об электронном документе» — в Республике Беларусь). В Российской Федерации был подготовлен и принят Государственной Думой в первом чтении законопроект «О праве на информацию», разрабатываются проекты законов «О персональных данных» и «Об электронной цифровой подписи», в Беларуси разрабатывается законопроект «Об информационной безопасности».

В 1993 году в России был принят и введен в действие первый Закон «О государственной тайне», а в 1994 году — «Закон о государственных секретах» в Республике Беларусь. В 1998 году на научно-практической конференции «Пять лет российскому Закону «О государственной тайне» в Санкт-Петербургском госуниверситете обсуждался уже возможный проект модельного закона о государственной тайне для Союза Беларуси и России.

Вопросы информационной безопасности находят отражение в программах научных конференций, проводимых в России и Беларуси. Большую просветительскую и организационную работу проводит редакционный совет издающегося в Минске белорусско-российского журнала «Управление защитой информации» (гл. редактор А.П. Леонов).

В Российской Федерации вопросы информационной безопасности и основ защиты государственной тайны включены в новые образовательные стандарты и вузовские учебные планы. Создано Учебно-методическое объединение вузов по информационной безопасности. По нашему мнению, представляется целесообразным расширить эту практику и в рамках готовящейся программы формирования и развития единого образовательного пространства Союзного государства.

Договор об образовании Союза Беларуси и России — открыл новый этап сотрудничества в укреплении информационной безопасности обеих государств, высветил новые задачи совершенствования нормативно-правовой базы построения информационного общества.

Формирование единого информационного пространства отнесено договором (ст. 18) к предмету совместного ведения Союзного государства и государств-участников договора. Решением Высшего Совета Союза Беларуси и России 28 апреля 1999 года утверждена Концепция безопасности Союза, в которой указаны жизненно важные интересы Союза в информационной сфере. Хорошим ориентиром в постановке работы по обеспечению информационной безопасности может служить утвержденная в сентябре сего года Президентом России Доктрина информационной безопасности Российской Федерации.16

Раздел 2. ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ В СФЕРЕ

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В РОССИЙСКОЙ ФЕДЕРАЦИИ

Тема 3. Госконтроль в сфере обеспечения информационной безопасности в РФ

3.1. Структура и основные функции государственной системы защиты информации от ее утечки по техническим каналам и организация работ по защите информации определены в «Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам»,утвержденном Постановлением Правительства от 15 сентября 1993 г. № 912-51.

Этим Положением предусматривается, что мероприятия по защите информации, обрабатываемой техническими средствами, являются составной частью управленческой, научной и производственной деятельности учреждений и предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению установленного федеральными законами «Об информации, информатизации и защите информации» и «О государственной тайне»комплекса мер по защите сведений, составляющих государственную и служебную тайну.

В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами « порядке в виде системы защиты секретной информации.

Основные задачи государственной системы защиты информации:

1) проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

2) исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения;

3) принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации;

4) общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;

5) контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях (независимо от форм собственности).

Надзор в сфере защиты информации, в первую очередь, осуществляет Федеральная служба по надзору в сфере связи (Россвязьнадзор), находящаяся в ведении Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России), данные функции также имеются у ФСБ, СВР, МВД, Минобороны, Минобрнауки России.

В частности, Федеральным законом от 3 апреля 1995 г. № 40-ФЗ «Об органах Федеральной службы безопасности в Российской Федерации»к компетенции ФСБ России в рассматриваемой области отнесены следующие вопросы:

1) участие в разработке и реализации мер по защите сведений, составляющих государственную тайну;

2) осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности;

3) осуществление мер, связанных с допуском граждан к сведениям, составляющим государственную тайну.

В Федеральном законе от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» (вступил в силу с февраля 2002 г.) в Перечень видов деятельности, на осуществление которых требуется лицензия, включено:

1) деятельность по распространению шифровальных (криптографических) средств;

2) деятельность по техническому обслуживанию шифровальных (криптографических) средств;

3) предоставление услуг в области шифрования информации;

4) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

5) деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;

6) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

7) деятельность по технической защите конфиденциальной информации;

8) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В настоящее время продолжается разработка подзаконных актов (положений, перечней), регулирующих порядок лицензирования данных видов деятельности.

Сертификация средств защиты и аттестование объектов информатизации. Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования.

В настоящее время в Госстандарте России (ныне — Росстандарт) зарегистрированы три системы сертификации средств защиты:

1) (Гостехкомиссия России) система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.001.01;

2) (ФАПСИ) система сертификации средств криптографической защиты информации (система сертификации СКЗИ) № РОСС RU.0001.030001;

3) (ФСБ) система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ — ГТ) № РОСС RU.0001.

Кроме того, системы сертификации средств защиты разрабатываются (имеются) в Министерстве Обороны РФ и Службе внешней разведки РФ.

Необходимой составляющей государственной системы обеспечения информационной безопасности являются Государственные стандарты и другие нормативно-технические и методические документы по безопасности информации, утвержденные федеральными органами государственного управления в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных . направлениях защиты информации.

К основным стандартам и нормативно-техническим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся:

а) в области защиты информации от несанкционированного доступа:

комплект руководящих документов Гостехкомиссии России(утвержденных решением Председателя Гостехкомиссии России от 25 июля 1997 г.), которые в соответствии с Законом «О стандартизации» можно отнести к отраслевым стандартам, в том числе:

— «Защита от несанкционированного доступа к информации. Термины и определения»

— «Концепция защиты СВТ и АС от НСД к информации»

— «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации»

— «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ»

— «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»

— «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ»

— «Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов»

— «Защита от НСД к информации. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей»

— ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от НСД к информации. Общие технические требования»

— ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» и другие;

б) в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН):

— «Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН» (Решение Председателя Гостехкомиссии СССР, 1977г.)

— «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (решение Гостехкомиссии России от 23.05.97 г. № 55)

— ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования»

— ГОСТ Р 50752-95 «Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний»

— методики контроля защищенности объектов ЭВТ и другие;

в) в области криптографического преобразования информации при ее хранении и передаче по каналам связи:

— ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»

— ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»

— ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»

— ГОСТ Р 34.11 -94 «Функция хеширования»

— «Положение о разработке, изготовлении и обеспечении эксплуатации

— шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику» (ПШ-93)

— Положение «О порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (ПКЗ-99) и другие

— «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Введена приказом ФАПСИ от 13 июня 2001 года № 152 ).

За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000-2001 гг. нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищенности передаваемых сообщений от подделок и искажений.

Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утвержден приказом Госстандарта от 12.09.01 № 380. Вводится в действие с 01.07.02 г.

Старый стандарт ЭЦП не отменяется. Он будет действовать еще несколько лет, но согласно письма ФАПСИ лицензиатам — разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускается только до 31 декабря 2001 года. С 1 января 2002 года длина открытого ключа ЭЦП должна быть 1024 бита.

Аттестация. При проведении работ со сведениями соответствующей степени конфиденциальности (секретности) системы информатизации должны (могут) быть аттестованы на соответствие требованиям безопасности информации.

Государственная система аттестации объектов информатизации устанавливает основные принципы, организационную структуру, порядок проведения аттестации, а также порядок контроля и надзора за эксплуатацией аттестованных объектов информатизации.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой государственной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организуют уполномоченные федеральные органы по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

Под аттестацией объектов информатизациипонимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа -»Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с определенным уровнем конфиденциальности и в указанный в «Аттестате соответствия» период времени.

Обязательной аттестацииподлежат объекты информатики, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатики.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится уполномоченными органами по аттестации объектов информатизации. Органы по аттестации аккредитуются Россвязьнадзором. Правила аккредитации определяются действующим в системе «Положением об аккредитации органов по аттестации объектов информатизации по требованиям безопасности информации». Каждый такой орган имеет лицензию Россвязьнадзора на право выполнения работ в области защиты информации и Аттестат аккредитации. Виды работ, которые он может выполнять, указываются в области аккредитации, являющейся приложением к Аттестату аккредитации. В своей деятельности органы по аттестации руководствуются нормативно-методическими документами Россвязьнадзора.

Аттестат соответствия утверждается руководителем органа по аттестации объектов информатизации, который и несет юридическую и финансовую ответственность за качество проведенных работ. Кроме того, органы по аттестации несут ответственность за обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.

Юридическая значимость электронной цифровой подписи (ЭЦП). Федеральный закон «Об электронной цифровой подписи» (№ 1 -ФЗ, подписан президентом РФ 10 января 2002 г.) определяет основные понятия, связанные с ЭЦП следующим образом:

электронный документ — документ, в котором информация представлена в электронно-цифровой форме;

электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;

средства ЭЦП — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций -создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;

сертификат средства ЭЦП — документ на бумажном носителе, выданный соответствии с правилами системы сертификации для подтверждения соответствия средства ЭЦП установленным требованиям;

закрытый ключ ЭЦП — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП;

открытый ключ ЭЦП — уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности электронной цифровой подписи в электронном документе;

сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, включающий в себя открытый ключ ЭЦП, которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств ЭЦП создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);

подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанное данной электронной цифровой подписью электронного документе;

пользователь сертификата ключа подписи — физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;

информационная система общего пользования — информационная система, которая открыта для пользования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;

корпоративная информационная система — информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Основной целью данного Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

При этом закон обеспечивает правовую основу для использования электронных технологий, определяет права и обязанности автора подписи, технологию удостоверения подписи. Закон определяет условия использования ЭЦП в электронных документах органами государственной власти и государственными организациями, а также юридическими и физическими лицами В законе устанавливаются права и обязанности обладателя электронной цифровой подписи. Определены требования к сертификату ключа подписи, выдаваемому удостоверяющим центром для обеспечения возможности подтверждения подлинности ЭЦП. Устанавливается состав сведений, содержащихся в сертификате ключа подписи, срок и порядок его хранения, а также порядок ведения реестров сертификатов.

В законе устанавливаются правовой статус удостоверяющих центров, их функции. Определяются отношения этих центров с уполномоченным федеральным органом исполнительной власти, который ведет единый государственный реестр сертификатов ключей подписей удостоверяющих центров.

Закон устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация.

Закон исходит из того, что деятельность удостоверяющего центра по выдаче сертификатов ключей подписи в информационных системах общего пользования подлежит лицензированию.

Законом предусматривается защита прав лиц, использующих ЭЦП в процессах электронного обмена документами, и условия приостановления действия и (или) аннулирования сертификата ключа подписи.

Наиболее значимым моментом закона «Об ЭЦП» является определение условий, при которых ЭЦП признается равнозначной собственноручной подписи физического лица.

Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи

1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном выполнении следующих условий:

1) сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) па момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

2) подтверждена подлинность электронной цифровой подписи в электронном документе;

3) электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

ГК РФ. Часть 1. Глава 9. Статья 160. Письменная форма сделки.

2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной — цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

ГК РФ. Часть 1. Глава 28. Статья 434. Форма договора

Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.

Федеральный Закон «Об информации, информатизации и защите информации»Статья 5. Документирование информации

2. Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке установленном законодательством РФ.

3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования.

4. Право удостоверять идентичность ЭЦП осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством РФ.

В комментариях к этому закону, изданных Комитетом при Президенте РФ по политике информатизации, Института государства и права РАН, НТЦ «Информсистема» сказано, что «Для признания ЭЦП необходимо наличие в автоматизированных информационных системах сертифицированных программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования».

Таким образом, применение сертифицированных средств защиты информации является обязательным условием при рассмотрении в судебном порядке спорных вопросов, связанных с удостоверением подлинности электронных документов и идентификацией личности пользователей системы.

Эксплуатация (использование) сертифицированных средств шифрования и электронной цифровой подписи может осуществляться в соответствии с действующим законодательством только на основании лицензии ФСБ России.

Совершенствование законодательного обеспечения Государственной системы защиты информации. В целом, нормативная правовая основа решения проблем информационной безопасности Российской Федерации базируется на системе правовых норм, регулирующих отношения в данной области. Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации определены в утвержденной Президентом Российской Федерации «Доктрине информационной безопасности Российской Федерации». Это базовый документ. Он предусматривает разработку последующих нормативных правовых документов. В нем намечены основные мероприятия, обеспечивающие эффективное противодействие угрозам безопасности государства и соблюдение национальных интересов в этой сфере.

Первоочередной задачей сегодня является разработка Концепции нормативного правового обеспечения информационной безопасности Российской Федерации, на которой будет основываться выработка согласованных действий всех субъектов права законодательной инициативы, федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации при формировании государственной политики в области обеспечения информационной безопасности, выработка предложений по совершенствованию ее правового, методического, научно-технического и организационного обеспечения. По нашему мнению, главными направлениями совершенствования законодательства в этой области являются:

1) разработка проектов федеральных законов, регулирующих отношения в области служебной, коммерческой, банковской и других видов тайн;

2) усиление борьбы с правонарушениями в информационной сфере путем совершенствования норм, регулирующих ответственность за эти правонарушения, включая усиление ответственности физических и юридических лиц за несанкционированный доступ к информации, ее противоправное копирование, уничтожение, блокирование и модификацию;

3) разработка нормативных правовых актов, регулирующих отношения в области противодействия техническим разведкам;

4) совершенствование систем лицензирования и сертификации в различных сферах информационной безопасности;

5) регулирование вопросов использования импортных аппаратных и программных средств, в том числе средств защиты информации;

6) создание условий для развития отечественной индустрии средств защиты информации;

7) дальнейшее развитие законодательства в области государственной тайны и системы ее защиты;

8) гармонизация стандартов Российской Федерации в области информационной безопасности с международными стандартами.

3.2. Значение научных исследований в деятельности федеральных органов исполнительной власти, осуществляющих надзор за обеспечением безопасности информации. Противодействие техническим разведкам и защита информации являются сложными и наукоемкими проблемами, требующими постоянного научно-методического и научно-технического сопровождения.

Во-первых, проведение исследований различных физических факторов и полей (их более 20), технических решений и технологий, которые могут быть использованы для ведения разведывательной деятельности и несанкционированного сбора информации, особенно сведений, составляющих государственную тайну. На этой основе определяются угрозы информационной безопасности, формируются исходные данные для оценки возможностей технических средств разведки и их опасности, выявляются потенциальные каналы утечки информации.

Во-вторых, на базе научных исследований разработан целый ряд нормативных, руководящих и методических документов (концепций, норм, требований, положений, ГОСТов и пр.). В качестве основы для разработки и осуществления мероприятий по защите информации эти документы направлены во все структуры, входящие в Государственную систему защиты информации.

И в-третьих, необходимо постоянно следить за перспективой информационных технологий, прогнозируя развитие сил и средств ведения технической разведки и сбора информации, так как мероприятия по противодействию им должны быть сориентированы на опережение, чтобы обеспечить долгосрочную защиту национальных интересов России. В нашей стране возглавляет научную деятельность в данной сфере научно-исследовательская организация — Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федерального агентства по информационным технологиям (Росинформтехнологии), созданный согласно Постановлению Правительства Российской Федерации от 21 июня 2000 г. № 474. Появление такого института позволило значительно повысить качество научно-технического обеспечения и координации работ по противодействию иностранным техническим разведкам и по технической защите информации.

3.3. Практическая реализация взаимодействия Россвязьнадзора с МВД, Минсвязи, ФСБ, Минобороны и с другими органами исполнительной власти в свете Доктрины информационной безопасности. В соответствии с Положением о Россвязьнадзоре ее основными задачами являются проведение единой государственной политики в области технической защиты информации (некриптографическими методами), осуществление межотраслевой координации и функционального регулирования деятельности по обеспечению технической защиты информации в аппаратах органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и в организациях. Приказы, распоряжения и указания Росссвязьнадзора, изданные в пределах ее компетенции, обязательны для исполнения, они и формируют общую стратегию в данной области. Достигается это тем, что все решения Росссвязьнадзора готовятся совместно с заинтересованными министерствами и ведомствами и принимаются на заседаниях коллегии, в состав которой входят первые заместители (заместители) руководителей 18 федеральных органов исполнительной власти и государственных органов. По мере необходимости с учетом реорганизации органов государственного управления в состав коллегии включаются новые члены. Так, в настоящий момент решается вопрос о включении в ее состав руководителей вновь созданных оборонных агентств. Что касается МВД, Минсвязи, ФСБ, то их руководители всегда являлись членами коллегии Росссвязьнадзора. Такой состав обеспечивает согласованность принимаемых на коллегии решений, позволяет сосредоточить совместные усилия на их реализации, гарантирует соответствие ее деятельности государственным интересам. Кроме того, у нас существует практика заключения двусторонних соглашений о взаимодействии с различными министерствами и ведомствами, основанных на обмене информацией, представляющей взаимный интерес, о проведении совместных работ в области защиты информации и контроля их эффективности.

3.4. Роль Росссвязьнадзора в формировании региональной политики информационной безопасности. Учитывая, что значительная часть информационного ресурса России сосредоточена в субъектах Российской Федерации, формирование региональных систем защиты информации и систем управления ими, а также развитие производственной базы и контроля эффективности принимаемых мер являются очень важной и актуальной задачей.

Как показывает опыт, создание региональных систем защиты информации позволяет улучшить методическое руководство деятельностью по защите информации органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий региона, обеспечивает более высокий научно-технический уровень проводимых работ. В свое время Росссвязьнадзором была одобрена практика работы администраций Воронежской и Ростовской областей по решению проблем защиты информации. Рекомендации по использованию опыта их работы были разосланы во все регионы Российской Федерации. В целях совершенствования системы обеспечения информационной безопасности и в рамках проводимой в Российской Федерации административной реформы в центрах федеральных округов созданы территориальные органы Росссвязьнадзора — управления Росссвязьнадзора по федеральным округам. Основным направлением их деятельности является реализация на региональном уровне задач и функций, возложенных на Росссвязьнадзор.

Создание региональных управлений Росссвязьнадзора оказывает помощь полномочным представителям Президента РФ в федеральных округах реализовать возложенные на них функции в части контроля за исполнением в федеральном округе законодательства Российской Федерации в области противодействия иностранным техническим разведкам, выявления угроз национальной безопасности и выработки рекомендаций по их нейтрализации.

3.5. Наиболее актуальные проблемы в сфере лицензирования деятельности предприятий, работающих в области защиты информации, и проблемы сертификации средств защиты информации. Лицензирование деятельности предприятий в области защиты информации и сертификация средств защиты информации являются одной из функций Росссвязьнадзора.

Качество проводимых работ по технической защите информации в современных условиях, на наш взгляд, можно обеспечить, если к проведению этих работ привлекать высокопрофессиональных работников, имеющих соответствующую подготовку и опыт работы. Данное требование мы реализуем посредством лицензирования деятельности предприятий, учреждений и организаций. При этом эффективность работ по технической защите информации может быть достигнута только при условии применения сертифицированных защищенных технических средств обработки, хранения и передачи информации и средств их защиты. Выполнение этой задачи обеспечивает система сертификации по требованиям безопасности информации. Основным организационным звеном в системе лицензирования стали лицензионные центры, аккредитованные Росссвязьнадзором. К настоящему моменту аккредитовано более 40 лицензионных центров, а всего в системе Росссвязьнадзора работают более 800 лицензиатов. Системой сертификации Росссвязьнадзора предусматривается проведение сертификационных испытаний по требованиям информационной безопасности широкого круга технических и программных средств защиты информации. С мая 1995 года по настоящее время ранее действовавшей в сфере защиты информации Гостехкомиссией России и, в последствии, Росссвязьнадзором сертифицировано 540 средств защиты информации.

В рассматриваемой сфере деятельности проблемы возникают в связи с появлением новых угроз безопасности информации, с применением в целях добывания информации новейших высокотехнологичных средств разведки, с непрерывным развитием самих информационных технологий и т.п. Глобальных проблем две, их можно сформулировать следующим образом:

1. В области защиты информации требуются не просто квалифицированные специалисты, а специалисты, постоянно совершенствующие свои знания и разбирающиеся в информационных технологиях на уровне разработчиков.Только им под силу, например, проведение сертификационных испытаний новых классов средств защиты информации, разработка программ и методик, которые превращаются, по сути дела, в научно-исследовательские работы.

2. Необходимо обеспечить технические подразделения, осуществляющие выполнение работ в области защиты информации, самой современной аппаратурой контроля эффективности принимаемых мер защиты, а также разработать средства защиты информации, адекватные применяемым новейшим средствам ее добывания.

3.6. Соответствие российских нормативных и правовых документов международно-признанным нормам и стандартам. Многие государства мира с декабря 1999 г. перешли на международный стандарт ISO 15408-99 «Критерии оценки безопасности информационных технологий», более известный как «Общие критерии». Проведенный организациями лицензиатами Росссвязьнадзора анализ российских и зарубежных стандартов в области безопасности информации показал, что по уровню систематизации, полноте и степени детализации требований, а также их универсальности, гибкости, гарантированности и реализуемости «Общие критерии» безусловно являются оптимальным стандартом.

Однако прямое признание в Российской Федерации «Общих критериев» в настоящее время потребует:

1) более высокого уровня технологии разработки отечественных средств защиты информации;

2) освоения новой терминологии;

3) разработки новой методической базы, включающей комплекс методик проведения сертификационных испытаний и др.

Учитывая это, Росссвязьнадзор совместно с другими заинтересованными министерствами и ведомствами ведет разработку на основе «Общих критериев» российского стандарта ГОСТ РИСО/МЭК 15408. Введение в действие данного стандарта позволит:

1) выйти на международный уровень оценки безопасности информационных технологий;

2) получить возможность создания нового поколения межведомственных нормативно-методических документов по оценке информационной безопасности на единой основе;

3) сделать реальной перспективу вхождения России в международное соглашение о взаимном признании оценок на основе «Общих критериев»;

4) обеспечить возможность признания сертификатов различных систем сертификации при оценках соответствия продуктов информационных технологий согласованным профилям защиты.

Особо следует отметить, что решение последней задачи позволит выработать единый комплексный подход при реализации государственной политики обеспечения безопасности информации, не содержащей сведения, составляющие государственную тайну.

3.7. Решение вопросов защиты информации при проведении рекламных кампаний и демонстрации отечественных образцов вооружения и военной техники на международных выставках и салонах. В таких случаях специалистами Росссвязьнадзора осуществляется контроль эффективности принимаемых мер по защите информации в соответствии с «Руководством по защите информации при подготовке и проведении международных выставок вооружения и военной техники».

В ходе указанной работы основное внимание уделяется контролю соответствия рекламируемых характеристик представленных образцов вооружения и военной техники тем характеристикам, которые были указаны разработчиком в рекламных паспортах на образцы и согласованы с Росссвязьнадзором.

3.8. Юридическая защита информации при вхождении в систему Интернет государственных органов и других отечественных пользователей. Что касается государственных органов, то эта проблема решается на основе Указа Президента Российской Федерации № 1189 от 6 октября 1998 года, где предписано не осуществлять включение в эту сеть информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения, а также тех пользователей, для которых установлены особые правила доступа к информационным ресурсам. Что касается всех остальных пользователей, то решение вопроса защиты их информации полностью лежит на собственнике информации.

Росссвязьнадзор не стоит в стороне от решения этого вопроса. Проблемы вхождения Российской Федерации в глобальные информационные сети, в частности в Интернет, Гостехкомиссией России и ее преемником, Росссвязьнадзором, поднимались неоднократно. Так в 1997 г. было принято решение № 61 «О защите информации при вхождении России в международную информационную систему Интернет», определившее необходимые на тот момент организационные и технические решения по защите информации и пути дальнейшей работы в этом направлении.

Росссвязьнадзор видит свою задачу в предоставлении возможности собственникам информации сделать выбор современных средств защиты информации исходя из степени необходимости ее защиты и стоимости этих средств. Под нашим руководством разрабатываются различные технические и аппаратные решения, проходящие в настоящее время сертификацию. Информация о возможности применения этих средств защиты будет размещена на сайтах компаний «Гротек», «Инфотекс», «Инфосистемы Джет» и «Маском».

3.9. Система подготовки специалистов по информационной безопасности в современной России. В соответствии с функциями, возложенными на нее Президентом РФ, Росссвязьнадзор осуществляет методическое руководство подготовкой, профессиональной переподготовкой и повышением квалификации специалистов в области информационной безопасности и участвуем в лицензировании образовательной деятельности в данной области.

Эффективное обеспечение технической защиты информации возможно только при наличии компетентных и высокопрофессиональных специалистов в этой области. Поэтому во исполнение соответствующих решений Росссвязьнадзора была создана нашедшая поддержку в Минобрнауки России и в других федеральных органах исполнительной власти система подготовки и переподготовки кадров по проблеме комплексной защиты информации. Кроме того, сформирована структура необходимых специальностей и специализаций, разработаны и периодически уточняются государственные образовательные стандарты и программы подготовки специалистов по защите информации. Здесь Росссвязьнадзор тесно взаимодействуем с Минобрнауки России и ФСБ России. Головным учебно-научным центром страны в этой области является Московский государственный инженерно-физический институт (МИФИ).

Подготовку по данной специализации, учебно-методическую и научную работу в федеральных округах осуществляют 16 региональных учебно-научных центров. Кроме того, специалисты Росссвязьнадзора готовятся в целом ряде военных и гражданских вузов. В учебных заведениях, входящих в систему подготовки кадров в области защиты информации и противодействия техническим разведкам, за период с 1991 г. прошли подготовку и переподготовку более 10 тысяч человек.

Данная работа выполнена с использованием справочной правовой системы КонсультантПлюс

1 Глебов А.П. Сущностно-субстанциональный и функциональные подходы в исследовании государственных и правовых явлений. В кн.: Проблемы теории государства и права. / Под ред. М.Н. Марченко. МГУ им. М. В. Ломоносова, юридический факультет. — М.: Издательство «Проспект», 1999. С. 145.

2 Алексеев С.С. Право: азбука — теория — философия: Опыт комплексного исследования. — М.: Издательство «Статут», 1999. С. 250.

3 Там же. С. 235.

4 Лопатин В.Н. Правовые основы информационной безопасности. В кн.: Информационное право. С. 473

5 Копылов В.А. Информационное право. С. 219.

6 Бачило И.Л. Информационное право. С. 27.

7 Полякова Т.А. Теоретико-правовой анализ законодательства в области обеспечения информационной безопасности Российской Федерации. Диссертация на соискание ученой степени кандидата юридических наук. Российская правовая академия при Министерстве юстиции Российской Федерации. — М., 2002.

8 Стрельцов А.А. Предмет правового обеспечения информационной безопасности. Российский юридический журнал, № 3, 2003.

9 Венгеров А.Б. Теория государства и права. — М., 1999, с. 381; Бачило И.Л. Информационное право. Основы практической информатики. — М., 2001, с. 54.

10 Алексеев С.С. Право: азбука — теория — философия: Опыт комплексного исследования. — М.: Издательство «Статут», 1999. С. 46.

11 Там же. С. 371.

12 Венгеров А.Б. Теория государства и права. С. 265.

13 Там же. С. 231.

14 Алексеев С.С. Государство и право. — М.: Издательство “Юридическая литература”, 1994. С. 165.

15 Стрельцов А.А. Цель, структура и методы правового обеспечения информационной безопасности Российской Федерации // Научные и методологические проблемы информационной безопасности / Под ред. В.П. Шерстюка. М.: МЦНМО, 2004.

16 Вус М.А. К вопросу о становлении концептуальных правовых основ информационной безопасности в рамках нашего государства / Информационная безопасность в союзе России и Беларуси. — СПб., 2000.

1

Смотреть полностью


Скачать документ

Похожие документы:

  1. Основы информационной безопасности в овд

    Методические указания
    ... . Основыинформационнойбезопасности органов внутренних дел: Учебноепособие. – М.: МосУ МВД России, 2005. Н.И.Журавленко, В.Е.Кадулин, К.К.Борзунов. Основыинформационнойбезопасности: Учебноепособие ...
  2. Правовой режим информации в отношениях с участием субъектов предпринимательской деятельности введение

    Документ
    ... . с. N 45-47. Горбатов В.С. Информационнаябезопасность: основыправовой защиты. М., 1995. Горбатов В.С., Кондратьева Т.А. Правовыеосновыинформационнойбезопасности: Учебноепособие. М., 1998. Гордиенко И. Учет ...
  3. Правовой режим информации в отношениях с участием субъектов предпринимательской деятельности Введение

    Документ
    ... . с. N 45-47. Горбатов В.С. Информационнаябезопасность: основыправовой защиты. М., 1995. Горбатов В.С., Кондратьева Т.А. Правовыеосновыинформационнойбезопасности: Учебноепособие. М., 1998. Гордиенко И. Учет ...
  4. Информационной безопасности

    Учебное пособие
    ... Шелупанов Александр Александрович ОСНОВЫИНФОРМАЦИОННОЙБЕЗОПАСНОСТИУчебноепособие Редактор Е. А. ... правовой базы обеспечения информационнойбезопасности. Учебноепособие основано на опыте преподавания дисциплины «Ос­новыинформационнойбезопасности» ...
  5. Информационная безопасность предпринимательской деятельности учебно-методический комплекс

    Учебно-методический комплекс
    ... слова. Б. Электронная цифровая подпись. В. Правовыеосновыинформационнойбезопасности личности и предпринимательства в РФ. Ц ... 10.1. Литература Основная 1. Галатенко В.А. Основыинформационнойбезопасности: Учебноепособие/ В.А. Галатенко. Под ред. ...

Другие похожие документы..