Современная нормативно-правовая база в области защиты информации
Сфера информационных технологий переживает сложный период перемен. Среди данных перемен наиболее важны перемены в законодательстве, посвященном информации, информатизации и защите информации. Многих специалистов волнуют вопросы: возможно ли техническое регулирование информационных технологий, почему в перечне видов безопасности в Федеральном законе «О техническом регулировании» нет информационной безопасности? Два Федеральных закона прекратили свое действие, но появились два новых. Очень интересными стали сообщения о разработке «Информационного кодекса РФ», а если учесть обсуждаемый законопроект[1], то станет понятен неподдельный интерес власти к сфере информационных технологий.
Перечисленными выше факторами обусловлена актуальность темы данного исследования, целью которого является изучение современной нормативно-правовой базы защиты информации. Для достижения поставленной цели в работе решены следующие задачи:
1. раскрыто понятие информации, информационных ресурсов и их правового режима;
2. охарактеризованы нормативно-правовые условия защиты различных видов информации.
Поставленные цель и задачи обусловили структуру и логику исследования, которое состоит из введения, двух глав, заключения и списка использованной литературы.
1. Понятие об информации, информационных ресурсах и их место в современном праве
Содержание правового режима информационных ресурсов не предусмотрено в действующем Законе об информации, однако данное правовое явление занимает особое место в правовых отношениях. Смысл понятия «правовой режим» заключается в возможности совершения или несовершения с объектом права определенных действий, влекущих известный юридический результат.
В содержание правового режима информационных ресурсов включаются:
1) порядок документирования информации;
2) положения о доступе к информационным ресурсам в зависимости от их категорий;
3) принятие мер по охране информации (способы охраны и порядок их применения). Следует отметить, что охрана – более широкое понятие, чем понятие «защита информации», и включает в себя также меры, направленные на предупреждение нарушения.
В свою очередь, следует отметить, что порядок защиты одинаков для всех объектов правоотношений, в том числе для информации. Различают юрисдикционный и неюрисдикционный порядок защиты. Юрисдикционный порядок защиты – это деятельность государственного органа, направленная на восстановление права и пресечение действий, нарушающих право. Юрисдикционный порядок делится, в свою очередь, на судебный и административный. Неюрисдикционный порядок имеет место при самозащите и при применении мер оперативного воздействия.
Следует отметить, что элементы правового режима информационных ресурсов закрепляются также в законодательстве субъектов РФ. Так, И.Л. Бачило говорит о том, что в законодательстве субъектов РФ насчитывается до 7 – 8 элементов правового режима информационных ресурсов, к ним, в частности, законодатель относит: порядок создания информационного продукта, стандарт его документального оформления, порядок финансирования, определение субъекта права собственности или исключительного права, установление категории доступа, правила учета и регистрации, условия обеспечения безопасности, порядок правоохранительной процедуры.
Информация с ограниченным доступом определяется двумя признаками.
1. Доступ ограничен в соответствии с законом.
2. Цель ограничения – защита основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечение обороны страны и безопасности государства.
Признаки охраноспособности информации:
1) охране подлежит только документированная информация;
2) информация должна соответствовать ограничениям, установленным законом;
3) защита информации устанавливается законом.
Виды информации с ограниченным доступом:
1) государственная тайна;
2) конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ:
– коммерческая тайна;
– тайна частной жизни;
– служебная тайна;
– профессиональная тайна.
Следует отметить, что термин «защита информации» законодательно закреплен в ст. 16 Закона об информации, анализ законодательства РФ позволяет говорить о том, что данное понятие является широко употребляемым. Толковый словарь «Бизнес и право» правовой системы «Гарант» под данным понятием подразумевает «все средства и функции, обеспечивающие доступность, конфиденциальность или целостность информации или связи, исключая средства и функции, предохраняющие от неисправностей. Она включает криптографию, криптоанализ, защиту от собственного излучения и защиту компьютера».
Между тем в ряде международных соглашений можно найти термин «защита информации». Под ним подразумевается:
– деятельность, направленная на предотвращение утечки конфиденциальной информации, несанкционированных и непреднамеренных воздействий на конфиденциальную информацию[2];
– комплекс административных, организационных и технических мероприятий по ограничению доступа к информации и ее носителям в целях обеспечения ее сохранности и недоступности третьим сторонам, предусмотренный законодательством РФ[3].
2. Правовые условия защиты различных видов информации
2.1 Режимы защиты информации
Цели защиты информации:
1) предотвращение хищения, утечки, искажения, утраты и подделки информации;
2) предотвращение несанкционированных действий по уничтожению, модификации, копированию и блокированию информации;
3) реализация права на государственную тайну и конфиденциальную информацию.
На основании ст. 16 Закона об информации защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Защита информации осуществляется от:
– утечки (неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками);
– несанкционированного воздействия (воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации);
– непреднамеренного воздействия (воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации);
– разглашения (несанкционированного доведения защищаемой информации до потребителей, не имеющих права доступа к этой информации);
– несанкционированного доступа (получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации);
– разведки (получения защищаемой информации технической, агентурной разведкой).
Режим защиты информации устанавливается в отношении трех групп сведений.
1. Сведения, относящиеся к государственной тайне: режим устанавливается уполномоченным государственным органом на основании Закона РФ о государственной тайне[4].
2. Конфиденциальная информация. Режим защиты информации устанавливается собственником информационных ресурсов или уполномоченным им лицом на основании Закона об информации.
3. Персональные данные. Режим защиты информации устанавливается специальным Федеральным законом №152-ФЗ от 27 июля 2006 г. «О персональных данных».
Контроль за соблюдением требований к защите информации, а также обеспечение органами мер защиты информационной системы, образующие информацию с ограниченным доступом в негосударственных структурах, возложены на государственные органы. Собственник информации также имеет право осуществить аналогичный контроль. Законом устанавливаются только перечни сведений, которые не могут быть отнесены к конкретному виду информации с ограниченным доступом. Исключение – перечень сведений, составляющих государственную тайну.
2.2 Правовой режим защиты информации, составляющей государственную тайну
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной, оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.
Рассмотрим принципы засекречивания информации.
1. Принцип законности: конкретная информация должна соответствовать перечню сведений, составляющих государственную тайну.
2. Принцип обоснованности: целесообразность отнесения указанных сведений к государственной тайне устанавливается путем экспертной оценки вероятного ущерба интересам государства и общества и на основании баланса жизненно важных интересов личности, общества и государства.
3. Принцип своевременности:
– засекречивание с момента получения сведений;
– засекречивание заблаговременно.
4. Принцип обязательной защиты: сведения защищаются компетентными на то органами.
Перечень сведений, составляющих государственную тайну:
1) сведения в военной области;
2) сведения в области экономики, науки и техники;
3) сведения в области внешней политики и экономики;
4) сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.
Не подлежат засекречиванию следующие сведения.
1. Сведения о чрезвычайных происшествиях, катастрофах, угрожающих безопасности и здоровью граждан.
2. Сведения о состоянии экологии, здравоохранения, демографии, образования, культуры, сельского хозяйства и преступности.
3. Сведения о привилегиях, компенсациях, льготах, предоставляемых всем субъектам.
4. Сведения о фактах нарушения прав и свобод человека и гражданина.
5. Сведения о ресурсах золотого запаса и государственных валютных резервов.
6. Сведения о состоянии здоровья высших должностных лиц.
7. Сведения о фактах нарушения здравоохранения органами государственной власти и должностными лицами.
Степени секретности
1. Особая важность – сведения, разглашение которых может нанести ущерб интересам РФ (лицам, допущенным к сведениям, имеющим гриф «Особая важность», устанавливается компенсация в размере 30% надбавки к заработной плате).
2. Совершенно секретно – сведения, разглашение которых может нанести ущерб, может быть причинен министерствам и ведомствам (лицам, допущенным к сведениям, имеющим гриф «Совершенно секретно», устанавливается компенсация в размере 25% к заработной плате).