Правовое оформление гарантий обеспечения информационной безопасности

В Законе об информации при закреплении сферы дейст­вия этого закона сказано, что закон регулирует отношения по обеспечению «защиты информации». Соответственно, этот Закон содержит специальную ст. 16, которая так и на­зывается: «Защита информации». В ч. 1 этой статьи установлено, что: «Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации огра­ниченного доступа;

3)реализацию права на доступ к информации».

Наиболее подробно здесь обозначены угрозы, которые могут вызывать необходимую систему мер правовых, ор­ганизационных и технических. Они обозначены как не­правомерный доступ, неправомерное уничтожение, измене­ние, блокирование, копирование, передача, распространение и иные неправомерные действия. При этом для того, чтобы возникли отношения по обеспечению информационной безопасности, необходима формальная фиксация состояния условий, о которых сказано выше. Необходимо зафиксиро­вать, по крайней мере, обстоятельства, которые касаются того, какой информационный объект подвергается неправо­мерному посягательству; со стороны каких субъектов; кто должен обеспечить их безопасность.

Так, при характеристике информационного объекта важ­но уяснить, представлен ли он в форме документа, совокуп­ности документов — базой данных, либо информационной системой, т.е. совокупностью не только данных, но и про­граммным обеспечением, которое также может быть под­вергнуто незаконному доступу и другим незаконным дейст­виям. Важно и то, к какой категории доступа относится информационный объект: является ли он общедоступным или отнесен к объектам ограниченного доступа. Объектом незаконного доступа, очевидно, могут быть и входные и вы­ходные средства информационной системы в сеть. Все эти обстоятельства имеют большое значение для квалифика­ции действий по несанкционированному вмешательству в информационную систему или ее компоненты.

Закон называет три категории субъектов, которые должны сами обеспечить соблюдение определенных тре­бований по обеспечению информационной безопасности.

Это такие субъекты, как: обладатель информации (не ска­зано, законный или незаконный); оператор, а также рас­пространитель информации, очевидно СМИ.

Попробуем обозначить распределение их ролей относи­тельно принимаемых мер в форме табл. 2.

Таблица 2 Распределение обязанностей участников обеспечения безопасности информационных систем по Закону об информации

Стоит обратить внимание на то, что в составе субъектов не обозначен пользователь, а также что обязанности распро­странителя в части перечисленных функций остаются неуре­гулированными. Но и эти три вида субъектов в соответствии со своим правовым статусом будут реализовывать разные меры предотвращения несанкционированного доступа к от­крытой информации, к информации ограниченного доступа, а также отнесенной к государственной тайне.

В части 2 ст. 16 Закона «Об информации» указано: «Госу­дарственное регулирование отношений в сфере защиты ин­формации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации».

В части 5 этой же статьи устанавливается, что требования по защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения без­опасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государ­ственных информационных систем используемые в целях защиты информации методы и способы ее защиты долж­ны соответствовать указанным требованиям. О требовани­ях к защите информации и информационных технологий корпоративных информационных систем и частных систем в этом Законе ничего не сказано. Между тем вопросы защи­ты и обеспечения безопасности таких категорий информа­ции, как коммерческая, профессиональная, персональные данные, нуждаются в урегулировании. И это осуществля­ется специальными федеральными законами.

Следует уяснить, что проблема обеспечения безопас­ности касается не только информации ограниченного до­ступа. Этот институт должен работать и применительно к информации неограниченного доступа и, возможно, еще более основательно, чем в сфере конфиденциальности. Конфиденциальность и режим тайн уже сам по себе сужа­ет круг пользователей. Открытая же информация может подвергаться неправомерному воздействию — искажению, уничтожению, присвоению — более легко. Это можно ви­деть на примере некоторых ресурсов Интернета. В части 3 ст. 16 Закона об информации определено, что требования к защите общедоступной информации могут устанавливать­ся для достижения целей, указанных в п. 1 и 3 ч. 1 данной статьи. А именно: для обеспечения защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распростра­нения, а также от иных неправомерных деяний и при обе­спечении реализации права на доступ.

Но и для информации ограниченного доступа вопросы уяснения, классификации угроз, рисков не остаются про­стыми и не ограничиваются только установлением мер по их усиленной охране.

Так, для обеспечения безопасности коммерчески значи­мой информации в соответствии с Федеральным законом «О коммерческой тайне» необходимо учитывать условия, в которых применяется институт коммерческой тайны. Спец­ифика этого института состоит в том, что этот вид тайны действует преимущественно в системе гражданско-правовых отношений. Но как вид информации коммерческая тайна или коммерчески значимая информация подчиняется требо­ваниям работы с ней с учетом правового режима конфиден­циальной информации. И, в процессе ее охраны и защиты, реализуются меры информационного права с учетом специ­фики гражданско-правовых отношений в договорной, обяза­тельственной практике, а также учет особенностей отноше­ний в области интеллектуальной собственности, в процессах использования объектов коммерческой тайны. При этом соблюдаются требования к оформлению документов, со­держащих коммерческую тайну, нормы, определяющие по­рядок работы с этой информацией, которые реализуют ор­ганизационные меры защиты конфиденциальности, а также технические приемы обеспечения ограниченного доступа к ней. В итоге действуют комплексные меры защиты, вернее сохранности в определенном режиме, а также требования к порядку обращения этой информации по системе комму­никаций. Использование такой информации обеспечивает гражданско-правовой интерес ее владельца — получение определенной прибыли в отношениях, реализующих право собственности, но при условии соблюдения правового режи­ма, установленного законом и действиями владельца в соот­ветствии с Законом об информации.

При обеспечении мер информационной безопасности по каждой из позиций несанкционированного доступа не­обходимо иметь технические регламенты, позволяющие фиксировать факты и субъектов несанкционированного до­ступа (внутренних для информационной системы и внеш­них); иметь шкалу определения вреда, ущерба для системы (информационного объекта и прав и интересов обладателя, оператора, распространителя), мер, которые они должны принять или обеспечить для предотвращения несанкцио­нированного доступа. Эти вопросы должны регулироваться внутренними правовыми актами каждого из обозначенных субъектов: административными и техническими регламен­тами, инструкциями, стандартами, которые разрабатывают­ся с учетом обозначенных выше требований по защите ин­формации в государственных информационных системах.

В этом процессе немало сложностей. При установлении природы и особенностей информационного объекта прихо­дится встречаться с его неоднозначностью по составу. Напри­мер, коммерческая тайна может касаться документов эконо­мического, организационного характера, но может включать и информацию, относимую к ноу-хау — по российским тра­дициям относимую к объектам интеллектуальной собствен­ности, что и подтверждается соответствующими нормами части четвертой ГК РФ. В связи с этим способы правонару­шений относительно конфиденциальности и защиты этих подвидов коммерческой тайны будут различными.

В интернет-среде регулирование в направлении обеспе­чения безопасности осуществляется преимущественно на основе международных стандартов и протоколов, на основе более четкого установления, за что и в каких случаях опе­ратор связи несет ответственность и за что он не должен отвечать (отказ технического оборудования по причинам, не зависящим от оператора; за сбои за пределами его зоны ответственности, за содержание сообщений и т.п.).

В обеспечении безопасности в пространстве Интернета важную роль выполняет национальное законодательство каждой страны. Например, основными документами, регу­лирующими китайский сегмент Интернета, являются акты Госсовета КНР: Правила защиты безопасности компьютер­ных систем (действуют с 1994 г.); Временное положение о контроле над электронными изданиями; Временное поло­жение о контроле за международными соединениями ин­формационных компьютерных сетей. Опубликованы также такие документы, как: Временный порядок регистрации названий интернет-страниц, Правила контроля за помеще­нием информации в сети.

Как видим, в области обеспечения информационной бе­зопасности и прав граждан в этой части мобилизуется весь арсенал институтов и средств информационного права. В связи с принятием в феврале 2008 г. Стратегии развития информационного общества в Российской Федерации еще предстоит большая работа по углублению и уточнению мер защиты информации как ограниченного доступа, так и ин­формации общего пользования и всех телекоммуникацион­ных средств ее трансляции.