Организационно-правовые основы обеспечения информационной безопасности органов государственной власти
(Аксенов С. Г.)
("Налоги" (журнал), 2008, N 3(2))
Текст документа
ОРГАНИЗАЦИОННО-ПРАВОВЫЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ
С. Г. АКСЕНОВ
Аксенов С. Г., кандидат юридических наук.
Организационно-правовое обеспечение информационной безопасности представляет собой совокупность управленческих решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению информационной безопасности, так и создание и функционирование систем защиты информации на конкретных объектах. Основными функциями организационно-правового обеспечения в рамках рассматриваемого вопроса являются:
- разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации;
- определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране и порядка регулирования деятельности предприятия и организации в этой области;
- формирование комплекса нормативных правовых, руководящих и методических материалов (документов), регламентирующих вопросы обеспечения информационной безопасности как в стране в целом, так и на конкретном объекте;
- определение мер ответственности за нарушение правил защиты информации;
- определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации и информационной безопасности;
- совершенствование регулирования экономических и налоговых отношений в информационной сфере с учетом обеспечения эффективного противодействия киберпреступности и защиты информации;
- формирование механизмов экономического и налогового стимулирования научно-технического прогресса в сфере обеспечения информационной безопасности и защиты информации.
Основными принципами формирования организационно-правового обеспечения защиты информации являются:
- обязательность соблюдения норм и правил защиты информации всеми лицами, имеющими отношение к защищаемой и конфиденциальной информации;
- нормативное правовое закрепление всех мер ответственности за нарушение порядка и правил защиты информации;
- придание юридической силы всем технико-математическим решениям в области организационно-правового обеспечения защиты информации;
- процессуальное оформление процедур разрешения ситуаций, складывающихся при обеспечении информационной безопасности и защите информации.
Следует отметить, что законодательные основы любого государства в области информационной безопасности являются необходимой мерой, удовлетворяющей первейшую потребность в защите информации при развитии социально-экономических, политических, военных направлений функционирования этого государства. Особое внимание со стороны западных стран к формированию и развитию такой основы вызвано всевозрастающими затратами на борьбу с преступностью в информационной сфере. Все это заставляет страны Запада серьезно заниматься вопросами законодательства в области информационной безопасности и защиты информации. Так, в США первый Закон в этой области был принят еще в 1906 г., а к настоящему времени уже имеется более 500 законодательных актов по защите информации, ответственности за ее разглашение и компьютерные преступления.
Созданием законодательной базы в области информационной безопасности каждое государство стремится защитить свои информационные ресурсы. Информационные ресурсы государства в самом первом приближении могут быть разделены на три большие группы:
- информацию открытую - на распространение и использование которой не имеется никаких ограничений;
- информацию запатентованную - охраняется внутригосударственным законодательством или международными соглашениями как объект интеллектуальной собственности;
- информацию, "защищаемую" ее собственником, владельцем, в том числе государством, с помощью отработанных механизмов защиты государственной, коммерческой или другой охраняемой тайны; к этому виду относят обычно информацию, неизвестную другим лицам, которая или не может быть запатентована, или умышленно не патентуется с целью избегания или уменьшения риска завладения ее соперниками, конкурентами.
Защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для собственника, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи.
К защищаемой информации относят:
- во-первых, информацию, составляющую государственную тайну. Информации, составляющую государственную тайну, присваивается соответствующий гриф секретности;
- во-вторых, конфиденциальную информацию. К этому виду защищаемой информации относят обычно сведения, содержащие коммерческую тайну, а также тайну, касающуюся личной (неслужебной) жизни и деятельности граждан.
Под защищаемой информацией понимаются сведения, на использование и распространение которых введены ограничения и характеризуемые понятием "тайна". Таким сведениям обязательно присваивается гриф секретности, поскольку они составляют государственную тайну.
Засекречивание государством определенных сведений обусловлено необходимостью сокрытия их от потенциального противника с целью исключения вредных для страны действий противоположной стороны и обеспечения возможности успешного решения жизненно важных вопросов в области обороны страны, политических, научно-технических и иных проблем с меньшими затратами сил и средств.
В связи с большой затратностью защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для собственника, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи. При этом следует отметить следующее:
- засекречивать информацию, т. е. ограничивать к ней доступ, может только ее собственник (владелец) или уполномоченные им на то лица;
- чем важнее для собственника информация, тем тщательнее он ее защищает; а для того чтобы все, кто сталкивается с этой защищаемой информацией, знали, что одну информацию необходимо оберегать более тщательно, чем другую, собственник определяет ей различную степень секретности;
- защищаемая информация должна приносить определенную пользу ее собственнику и оправдывать затрачиваемые на ее защиту силы и средства;
- секретная информация обладает определенным генетическим свойством: если эта информация является основанием для создания новой информации (документов, изделий и т. п.), то созданная на этой основе новая информация является, как правило, также секретной.
Владельцами (собственниками) защищаемой информации могут быть:
- государство и его структуры (органы). В этом случае к защищаемой информации относятся сведения, являющиеся государственной тайной, иные виды защищаемой информации, принадлежащей государству или ведомству; в их числе могут быть и сведения, являющиеся служебной или коммерческой тайной;
- предприятия, товарищества, акционерные общества (в том числе и совместные) и другие - информация является их собственностью и составляет коммерческую тайну;
- общественные организации - как правило, партийная тайна, не исключена также государственная и коммерческая тайна;
- граждане страны (их конституционные права - тайна переписки, телефонных и телеграфных разговоров, врачебная тайна, персональные данные и др. гарантируются государством, личные тайны - их личное дело; следует отметить, что государство не несет ответственности за сохранность сведений, составляющих личную тайну).
Понятие "государственная тайна" является одним из важнейших в системе защиты государственных секретов, в том числе и в деятельности органов государственной власти. От ее правильного определения зависит и политика руководства страны в области защиты жизненно важных сведений.
Основополагающим нормативным правовым документом в области защиты сведений, составляющих государственную тайну, является Закон Российской Федерации "О государственной тайне", в котором понятие "государственная тайна" определено как "защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации" (2).
Основными элементами и объектами отнесения информации к сведениям, составляющим государственную тайну, являются:
- предметы, явления, события, области деятельности, составляющие государственную тайну;
- противник (данный или потенциальный), от которого в основном осуществляется защита государственной тайны;
- указание в законе, перечне, инструкции сведений, составляющих государственную тайну;
- наносимый ущерб обороне, внешней политике, экономике, научно-техническому прогрессу страны и т. п. в случае разглашения (утечки) сведений, составляющих государственную тайну.
Указом Президента Российской Федерации от 30.11.1995 N 1203 определена основная номенклатура сведений, которые могут быть отнесены к государственной тайне в областях: военной, внешнеполитической и внешнеэкономической, экономической, научной, разведывательной, контрразведывательной и оперативно-розыскной деятельности.
Нельзя присваивать информации гриф секретности и рассматривать ее как сведения, составляющие государственную тайну, если:
- утечка (разглашение и т. п.) информации не влечет ущерба национальной безопасности страны;
- это приводит к нарушению действующего законодательства;
- сокрытие информации будет нарушать конституционные и законодательные права граждан;
- это приводит к сокрытию деятельности, наносящей ущерб окружающей природной среде, угрожающей жизни и здоровью граждан. Подробнее перечень причин и условий, при которых нельзя засекречивать информацию, содержится в ст. 7 Закона Российской Федерации "О государственной тайне".
Порядок отнесения информации к сведениям, составляющим государственную тайну, определен Правилами отнесения сведений, составляющих государственную тайну, к различным степеням секретности, введенными в действие Постановлением Правительства Российской Федерации от 04.09.1995 N 870.
Разница между степенями секретности зависит от масштабов и величины ущерба, который может быть получен в результате их разглашения.
Понятия "масштаб", "вид" и "размер ущерба" разработаны пока еще недостаточно, не имеют единых определений и методик расчета и могут отличаться для каждого конкретного объекта защиты по содержанию сведений, составляющих государственную тайну, сущности отраженных в нем фактов, событий и явлений действительности.
Развитие мер обеспечения защиты информации в Российской Федерации идет по трем направлениям:
- защита прав личности на частную жизнь;
- защита государственных интересов;
- защита экономической и финансово-хозяйственной деятельности.
Нормативная база по вопросам информационной безопасности Российской Федерации включает:
- Конституцию Российской Федерации;
- федеральные законы и законы Российской Федерации;
- кодексы Российской Федерации;
- постановления Правительства Российской Федерации;
- ведомственные нормативные акты, ГОСТы, руководящие документы.
В качестве Федеральных законов и Законов Российской Федерации, непосредственно регулирующих те или иные отношения в информационной сфере, можно назвать следующие (1):
- "О государственной тайне";
- "О безопасности";
- "О лицензировании отдельных видов деятельности";
- "Об информации, информатизации и защите информации";
- "О правовой охране программ для электронных вычислительных машин и баз данных";
- "О техническом регулировании";
- "Об участии в международном информационном обмене";
- "О связи";
- "Об органах Федеральной службы безопасности в Российской Федерации";
- "О коммерческой тайне";
- "Об электронной цифровой подписи".
В целях охраны и защиты прав и свобод в информационной сфере Конституция Российской Федерации устанавливает гарантии, обязанности, механизмы защиты и ответственности. К основным конституционным гарантиям относятся:
- признание прав и свобод человека и гражданина неотчуждаемыми (ст. 17), равными (ст. 19), непосредственно действующими (ст. 18) согласно общепризнанным принципам и нормам международного права и защищаемыми государством (ст. 45);
- законы подлежат официальному опубликованию. Неопубликованные законы не применяются. Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения (ч. 3 ст. 15);
- права и свободы "определяют смысл, содержание и применение законов, деятельность законодательной и исполнительной власти, местного самоуправления и обеспечиваются правосудием" (ст. 18);
- органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечивать каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом (ч. 2 ст. 24);
- механизмы защиты наряду с государственной защитой предусматривают право каждого на самозащиту "всеми способами, не запрещенными законом" (ч. 2 ст. 45), судебную защиту (ч. 1 и 2 ст. 46), международно-правовую защиту (ч. 3 ст. 46);
- сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, влечет за собой ответственность в соответствии с федеральным законом (ч. 3 ст. 41).
Важной сферой информационной безопасности является защита прав собственности на нее. Информация, несмотря на ряд существенных особенностей, рассматривается законом как объект права собственности. В части первой Гражданского кодекса Российской Федерации (ст. 128), принятого Государственной Думой (21.10.1994), впервые в России информация определена в качестве объекта права.
Федеральным законом от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации" определено, что информационные ресурсы, т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника.
Вся информация в правовом отношении делится на следующие основные сегменты:
1. Информация без ограничения права доступа:
- информация общего пользования, предоставляемая пользователям бесплатно;
- информация о состоянии окружающей природной среды, ее загрязнении;
- сведения (данные), полученные в результате мониторинга окружающей природной среды, ее загрязнения (Федеральный закон от 2 мая 1997 г. N 76-ФЗ "Об уничтожении химического оружия");
- информация в области работ по хранению, перевозке, уничтожению химического оружия - сведения о состоянии здоровья граждан и объектов окружающей среды в районах размещения объектов по хранению химического оружия и объектов по уничтожению химического оружия, мероприятиях по обеспечению химической, санитарно-гигиенической, экологической и пожарной безопасности при проведении работ по хранению, перевозке и уничтожению химического оружия, а также о мерах по предотвращению возникновения чрезвычайных ситуаций и ликвидации их последствий при выполнении указанных работ, предоставляемые по запросам граждан и юридических лиц, в том числе общественных объединений (Федеральный закон от 2 мая 1997 г. N 76-ФЗ "Об уничтожении химического оружия", ст. 1);
- информация, содержащая сведения об обстоятельствах и фактах, представляющих угрозу жизни, здоровью граждан (не подлежит засекречиванию, не может быть отнесена к тайне).
2. Информация с ограниченным доступом:
- государственная тайна;
- служебная тайна;
- коммерческая тайна;
- банковская тайна;
- профессиональная тайна;
- персональные данные как институт охраны права неприкосновенности частной жизни.
3. Вредная информация, запрещенная для распространения (информация, распространение которой наносит вред интересам общества, законным интересам и правам граждан):
- порнография; информация, разжигающая национальную, расовую и другую рознь;
- пропаганда и призывы к войне;
- ложная реклама и реклама со скрытыми вставками и т. п.
4. Объекты интеллектуальной собственности - то, что не может быть отнесено к информации с ограниченным доступом, но охраняется особым порядком через институты интеллектуальной собственности:
- авторское право;
- патентное право;
- средства индивидуализации и т. п.
Исключение составляют так называемые ноу-хау, которые охраняются в режиме коммерческой тайны.
5. Иная общедоступная информация, среди которой различные исследователи и ученые выделяют до 20 и более видов открытой общедоступной информации.
Федеральные законы, кодексы и законы Российской Федерации, непосредственно регулирующие те или иные отношения в информационной сфере, определяют и основания для введения ограничений и запретов на распространение той или иной информации, основными из которых являются следующие.
1. Основания для ограничения информационных прав:
- защита основ конституционного строя;
- защита нравственности, здоровья, прав, законных интересов других лиц;
- обеспечение обороны страны и безопасности государства;
- обеспечение общественного спокойствия в целях предотвращения беспорядков и борьбы с преступностью;
- предотвращение разглашения конфиденциальной информации;
- обеспечение авторитета и беспристрастности правосудия;
- условия чрезвычайного положения, установленные по закону (на определенный период).
2. Основания для прямого ограничения информационных прав:
- использование прав в целях насильственного изменения конституционного строя;
- пропаганда социальной ненависти, социального, расового, национального, религиозного, языкового превосходства, насилия и войны;
- нарушение права на неприкосновенность частной жизни (личную, семейную тайну), неприкосновенность жилища, права на уважение и защиту чести, достоинства и репутации, тайны переписки, телефонных переговоров, телеграфных и иных сообщений;
- нарушение права на государственную, служебную, профессиональную, коммерческую и банковскую тайну;
- право на отказ от свидетельствования против себя самого, своего супруга и близких родственников.
3. Основания для отнесения информации к сведениям с ограниченным доступом:
- государственная тайна;
- служебная тайна;
- коммерческая тайна;
- банковская тайна;
- профессиональная тайна;
- персональные данные.
4. Основания для запрета ограничений на доступ к информации: обстоятельства и факты, представляющие угрозу жизни и здоровью граждан.
Для реализации права на информацию в Конституции Российской Федерации заложены основания, по которым доступ к отдельным видам информации не подлежит какому-либо ограничению, например, в ст. 42 закреплено право на достоверную информацию о состоянии окружающей среды, которое не может быть ограничено. В случае возникновения угрозы жизни и здоровью людей должностные лица обязаны информировать население о ней. Лица, препятствующие выполнению этой нормы или не выполняющие ее, подлежат привлечению к ответственности (ч. 3 ст. 41).
В ряде законов, устанавливающих ограничения доступа к информации, также вводится перечень сведений, доступ к которым не может быть ограничен. Так, в ст. 7 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне" перечислены сведения, не подлежащие засекречиванию. В п. 3 ст. 10 Федерального закона от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" приведен перечень документов, доступ к которым запрещено ограничивать. В Федеральный закон "О коммерческой тайне" планируется также включить перечень сведений, которые нельзя отнести к коммерческой тайне. В Федеральном законе "О благотворительной деятельности и благотворительных организациях" (п. 7 ст. 19), в свою очередь, определен перечень сведений, которые не могут составлять коммерческую тайну.
Доступ к открытой информации обеспечивается реализацией соответствующих механизмов, к числу которых могут быть отнесены:
- структурирование открытой информации по уровням доступа - подлежащей обязательному опубликованию в средствах массовой информации, предоставлению по запросу каждого гражданина, обязательному предоставлению по запросу отдельных категорий граждан;
- структурирование органов государственной власти и местного самоуправления, чьи должностные лица обязаны предоставлять информацию (например, государственная система научно-технической информации, Положение о которой утверждено Постановлением Правительства Российской Федерации от 24 июля 1997 г. N 950);
- установление обязанности должностных лиц на основании документов предоставлять по запросам граждан информацию, доступ к которой не ограничен законом;
- публикацию в общедоступных изданиях документированной информации, подлежащей обязательному распространению, всех перечней по установлению ограничений и запретов в информационной сфере, перечня органов государственной власти и местного самоуправления (с указанием их функций и адресов);
- создание общедоступных баз данных в органах государственной власти и местного самоуправления, в том числе на общедоступных серверах с указанием в средствах массовой информации их адресов и порядка получения информации;
- порядок предоставления информации, предусматривающей сроки, объем и форму предоставления информации в зависимости от правового статуса организации, в адрес которой направлен запрос;
- установление источников финансирования и покрытия расходов, связанных с предоставлением информации, - в соответствии с нормой Гражданского кодекса Российской Федерации (п. 2 ст. 779) предоставление информации отнесено к обязательствам о возмездном оказании услуг.
Большое значение для реализации информационных прав граждан на доступ к информации имеет Послание Президента Российской Федерации Федеральному Собранию Российской Федерации от 17 февраля 1998 г., где в целях обеспечения информационной открытости государственной власти гражданскому обществу определены следующие задачи:
- радикальное обновление функций, методов, критериев деятельности существующих информационных служб органов исполнительной власти;
- сужение области ведомственных тайн;
- уточнение с помощью общественных организаций гарантий предоставления общественно значимой официальной информации;
- обучение государственных служащих практической работе в условиях информационной открытости;
- установление каналов двусторонней связи государственных органов с общественными организациями, занимающимися аналогичными проблемами (экологическими, социальными и др.).
Задача обеспечения информационной безопасности в органах государственной власти является многоплановой и многоаспектной. Ширина спектра проводимых мероприятий зависит от масштабов множества угроз и возможностей соответствующих органов противопоставить этим угрозам, применять соответствующие контрмеры. В частности, одной из весьма существенных угроз информации органов государственной власти является угроза ее утечки по техническим каналам.
Под техническим каналом утечки информации понимается совокупность:
- объекта доступа;
- средства доступа, с помощью которого добывается информация;
- среды, в которой распространяется сигнал.
Объектами доступа являются объекты информатизации органов государственной власти, в том числе объекты вычислительной техники, выделенные помещения, архивы, специальные библиотеки и другие объекты, в которых циркулирует в том или ином виде информация ограниченного доступа.
Многообразие технических каналов утечки информации органов делает задачи защиты от этой угрозы организационно и технологически сложными. Для решения проблемы предотвращения утечки информации по техническим каналам в органах государственной власти реализуется комплекс мероприятий, основными из которых являются:
- повышение безопасности информационных систем, включая сети связи органов внутренних дел;
- обеспечение защиты сведений, составляющих государственную тайну;
- мероприятия, направленные на гарантированное предотвращение несанкционированного проникновения на объекты органов внутренних дел и утечки информации по техническим каналам;
- совершенствование системы подготовки и переподготовки персонала по использованию современных средств защиты информации.
Наиболее уязвимым местом в сфере защиты информации являются действия технического персонала и пользователей информационных систем (умышленные и неумышленные), которые приводят к утечке информации, циркулирующей в этих системах. В этой связи открытые информационные системы (в смысле работы с открытой информацией) должны контролироваться на предмет исключения попадания в них секретной и конфиденциальной информации по неумышленным и умышленным действиям технического персонала и пользователей.
В настоящее время продолжается усиление и ужесточение требований к соблюдению информационной безопасности со стороны специализированных органов федеральной власти в сфере защиты информации, уточняются и обновляются ведомственные перечни сведений, составляющих государственную тайну. На фоне этого постоянно происходит увеличение объема секретной и особенно совершенно секретной информации в информационных системах органов государственной власти. В этой связи особого внимания заслуживают вопросы защиты информации в соответствующих телекоммуникационных системах.
Практическое взаимодействие должностных лиц и территориальных органов большинства министерств и ведомств обеспечивается наличием собственных и межведомственных специализированных стационарных сетей связи.
Практически все министерства и ведомства при создании собственных телефонных сетей засекреченной связи используют специальную аппаратуру.
Сопряжение ведомственных сетей связи осуществляется в основном путем организации так называемых шлюзов перешифрования.
Вопрос унификации аппаратуры шифрования для организации взаимодействия ведомственных сетей, как правило, рассматривается лишь при разработке и развертывании новых систем связи на основе перспективных цифровых технологий, таких, например, как сотовая или транкинговая связь. Применение в указанных системах базовой аппаратуры шифрования, удовлетворяющей основным требованиям потенциальных потребителей, позволяет, с одной стороны, министерствам и ведомствам самостоятельно решать вопросы криптографической защиты информации в ведомственных сетях, не нарушая принципа их взаимного согласования, и, с другой стороны, исключать распыление финансовых средств за счет сокращения номенклатуры вновь разрабатываемых средств шифрования.
В целом проблема развития организационно-правовых основ обеспечения информационной безопасности органов государственной власти остается и по настоящее время весьма актуальной, а в условиях постоянного и бурного развития средств информатизации эта проблема ставится в ранг приоритетных в вопросах обеспечения национальной безопасности Российской Федерации.
Литература
1. Правовая система "КонсультантПлюс". 2008.
2. Закон Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне" (в ред. Федеральных законов от 06.10.1997 N 131-ФЗ, от 30.06.2003 N 86-ФЗ).
Название документа