Обеспечение информационной безопасности отдельных граждан, предприятий, организаций, так же как и обеспечение национальной безопасности в информационной сфере, требует законодательной поддержки на государственном уровне. К правовым мерам обеспечения информационной безопасности относится разработка специализированных нормативных правовых актов (законов, постановлений и т.п.), а также нормативных методических документов (в первую очередь, стандартов обеспечения безопасности). В 2005-2006 гг. российское правительство плотно взялось за создание и совершенствование законодательства в сфере информационных технологий и информационной безопасности. Особое внимание разработке этой отрасли права уделяется в связи с реализацией проекта «Электронное правительство» («Концепции использования информационных технологий в деятельности федеральных органов государственной власти»), согласно которой к 2010 году системы электронного документооборота будут внедрены во всех федеральных органах власти, электронными станут более 70 % всех документов, автоматизацией аналитики и операций с ними займутся корпоративно-ведомственные порталы, а ведомственные информационные системы обретут всеобщую совместимость.
Основу этому процессу положила утвержденная президентом 2000 году «Доктрина информационной безопасности Российской Федерации» (№Пр-1895 от 09.09.2000). «Доктрина» развивает концепцию национальной безопасности применительно к информационной сфере и служит основой для трех направлений:
• формирование государственной политики в области обеспечения информационной безопасности РФ;
• подготовка предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;
• разработка целевых программ обеспечения информационной безопасности РФ, а также развитие отечественной информационной инфраструктуры.
В июле 2006 г. принят федеральный закон №149-ФЗ «Об информации, информационных технологиях и защите информации», пришедший на смену старым законам «Об информации, информатизации и защите информации» (№24-ФЗ от 24.02.95) и «Об участии в международном информационном обмене» (№85-ФЗ от 04.07.96) и некоторым другим нормативным актам, и регламентирующий основные отношения в информационной сфере.
В настоящее время можно отметить, что правовое поле в области защиты информации получило весомое заполнение. Наряду с существующими ранее законами «О государственной тайне» (№5485-1 от 21.07.93), «О средствах массовой информации», законодательстве об архивном фонде РФ и архивах и уже упомянутом законом «Об информации, информационных технологиях и защите информации», принят ряд важных для развития информационных технологий и обеспечения информационной безопасности законодательных актов: «Об электронной цифровой подписи» (№1-ФЗ от 10.01.2002), «О коммерческой тайне» (№98-ФЗ от 29.07.2004), «О персональных данных» (№152-ФЗ), новые гражданский, уголовный и административный кодексы. Этими правовыми актами, в частности, определяются виды информации, которую можно относить к конфиденциальной, требования к организации информационной безопасности, критерии разграничения доступа к информации, условия ее отнесения к государственной, коммерческой или служебной тайне, а также условия распространения на информацию прав собственности. В ближайшей перспективе – пополнение информационного права РФ новыми законами «Об электронной подписи» (закон «Об электронной цифровой подписи» существует с 2002 года, и сейчас обсуждается уже 3-я его редакция), «Об электронном документе», «О доступе к информации».
Условная классификация национальных правовых актов в информационной сфере приведена в табл. 4.5.
Таблица 4.5
Законодательство РФ в информационной сфере
Область правового регулирования | Основные законодательные акты |
Основы информационной безопасности | «Доктрина информационной безопасности Российской Федерации», ФЗ «Об информации, информационных технологиях и защите информации» |
Обеспечение электронного докуметооборота | ФЗ «Об электронной цифровой подписи», Гражданский кодекс РФ. Часть 4. «Концепция использования информационных технологий в деятельности федеральных органов государственной власти» – целевая государственная Программа на 2002-2010 гг. (утверждена Постановлением Правительства РФ) |
Правовые режимы доступа к информации, различные виды тайн | ФЗ «О государственной тайне», ФЗ «О коммерческой тайне», ФЗ «О персональных данных», ФЗ «О банках и банковской деятельности», Таможенный, налоговый, гражданский, уголовный, административный, трудовой кодексы РФ, указы Президента РФ, утверждающие перечни сведений конфиденциального характера и сведений, отнесенных к государственной тайне, архивное законодательство РФ. |
Окончание таблицы 4.5
Область правового регулирования | Основные законодательные акты |
Производство и использование систем защиты информации | ФЗ «О федеральных органах правительственной связи и информации», ФЗ «О лицензировании отдельных видов деятельности», постановления Правительства РФ о сертификации средств защиты информации и лицензировании деятельности в области защиты информации. |
Защита авторских и имущественных прав разработчиков информационных систем | Гражданский кодекс РФ. Часть 4. |
Информация определена как сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Объектом правового регулирования могут быть конкретные формы существования информации:
Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информационная система – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
Множество информационных объектов подразделяется на две категории – с ограниченным доступом и общедоступные. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не может быть ограничен в соответствии с действующим законодательством (например, информация о состоянии окружающей среды, деятельности государственных органов и т.п.). В свою очередь, информация с ограниченным доступом считается конфиденциальной, включая государственную, служебную, профессиональную (банковская, нотариальная и т.п.), коммерческую тайны, персональные данные и другие виды тайн.
Информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено ограничение доступа к ней в установленном порядке. Законом определены режимы доступа к информационным ресурсам и порядок их использования (рис.4.5).
общедоступная информация | информация ограниченного доступа | ||
государственная тайна | |||
коммерческая тайна | |||
служебная тайна | |||
профессиональная тайна | |||
персональные данные | |||
Рис.4.5. Правовые режимы доступа к информации.
Обладателем информации могут выступать как физические и юридические лица, так и субъекты РФ, муниципальные образования и Российская Федерация. Обладатель вправе самостоятельно разрешать или ограничивать доступ к своей информации. Запрещается требовать от гражданина предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну. Порядок доступа к сведениям персонального характера устанавливается ФЗ «О персональных данных». В качестве примера таких данных закон приводит ФИО, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другую информацию.
Действующее законодательство (Уголовный кодекс РФ гл.28) предусматривается ответственность за преступления в сфере компьютерной информации и информационных систем:
· Неправомерный доступ к компьютерной информации (ст.272);
· Создание, использование и распространение вредоносных программ для ЭВМ (ст.273);
· Нарушение правил эксплуатации ЭВМ, систем или сетей ЭВМ (ст.274).
За перечисленные деяния предусмотрена административная (отстранение от должности, штрафы) либо уголовная ответственность.
Уголовная ответственность предусмотрена также и за сбор и использование сведений, составляющих коммерческую или банковскую тайну (ст. 183 УК), нарушение авторских и смежных прав (ст. 146 и 180 УК), административная – за нарушение порядка использования и распространения персональных данных (ст. 13.11 Кодекса об административных правонарушениях).
Вместе с тем, критики отмечают, что эффективное действие информационного законодательства сдерживается отсутствием сложившейся правоприменительной базы, медлительностью российской судебной системы, низкой правовой культурой, а в ряде случаев нарекания вызывает и расплывчатость самих требований закона.
Использование информационных технологий и средств защиты информации, регламентируется, кроме того, стандартами ФСТЭК (ГОСТы) и сертификатами ФСБ. Для государственных учреждений соблюдение этих стандартов обязательно, для коммерческих организаций – носит рекомендательный характер. Тем не менее, ведущие российские компании-потребители сегодня склонны прислушиваться к требованиям государства, в том числе и в вопросах защиты своей информации. Указанные стандарты сейчас используются практически во всех крупных организациях, а также в средних и мелких, для которых политики информационной безопасности и системы защиты информации разрабатывались специализированным компаниям. Востребованы в России и международные стандарты безопасности (ISO 17799, 27001, 13335 и 15408), приняты их российские аналоги (ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 27001-2007, ГОСТ Р ИСО/МЭК ТО 13335-5-2006, ГОСТ Р ИСО/МЭК 15408-2002).
Кроме нормативных документов, регулирующих использование решений в области информационной безопасности, существуют отраслевые стандарты. В частности, при построении информационных систем в финансовой сфере применяются стандарты Центрального Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» (СТО БР ИББС-1.0-2006), информационные системы топливно-энергетического комплекса требуют ссылки на ОСТы Газпрома и т.д.
Российские компании, заинтересованные в повышении эффективности своей работы и снижении издержек, ориентируясь на мировой опыт, разрабатывают внутренние нормативы, регламентирующие организацию информационных процессов и обеспечение их безопасности. Польза от внутренних стандартов и регламентов безопасности наиболее очевидна в крупных и территориально-распределенных организациях.
Иерархия соблюдения нормативных правовых актов, стандартов и регламентов в области информационной безопасности организации приведена на рис. 4.6.
Внутренние стандарты и регламенты безопасности организации | ||||||||||
Отраслевые стандарты (например, стандарт ЦБ РФ СТО БР ИББС-1.0-2006) | ||||||||||
Национальные стандарты средств защиты (ГОСТ 28147-89, ГОСТ Р 34.10-2001, ГОСТ 34.311-95, ГОСТ Р 34.11-94) | ||||||||||
Международные стандарты информационной безопасности и их российские аналоги | ||||||||||
Требования "отраслевого" законодательства РФ (например, ФЗ "О банках и банковской деятельности") | ||||||||||
Требования информационного законодательства РФ |
Рис.4.6. Иерархия стандартов и регламентов информационной безопасности организации.