Роль государства в обеспечении информационной безопасности
(Волчинская Е. К.) ("Информационное право", 2008, N 4) Текст документаРОЛЬ ГОСУДАРСТВА В ОБЕСПЕЧЕНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Е. К. ВОЛЧИНСКАЯ
Волчинская Е. К., ведущий советник аппарата Комитета Государственной Думы по безопасности, кандидат экономических наук.
В статье исследуются роль, задачи и функции государственного регулирования в обеспечении информационной безопасности, приводятся результаты анализа их исполнения в XXI столетии. В развитие ранее опубликованных российскими учеными классификаций и рубрикаторов 40 видов тайн приводится авторская концепция классификации таких тайн на первичные и вторичные в зависимости от субъектов таких отношений. Согласно Доктрине информационной безопасности Российской Федерации <1> под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. -------------------------------- <1> Утверждена Президентом Российской Федерации 9 сентября 2000 г. N Пр-1895.
Права и свободы человека и гражданина, связанные с обращением информации, определены Конституцией Российской Федерации и включают: право доступа к информации, затрагивающей права, свободы и обязанности человека и гражданина <2>, право на тайну частной жизни (ст. ст. 23 и 24), тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. 23), право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ст. 29), свободу слова (ст. 29). -------------------------------- <2> "Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения" (ст. 15); "2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом" (ст. 24); "Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением" (ст. 42); "3. Сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, влечет за собой ответственность в соответствии с федеральным законом" (ст. 41).
Эти права могут быть ограничены только "в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства" (ст. 55). Государство обязано обеспечить реализацию этих прав и свобод с учетом установленных условий их ограничения, в том числе оно вправе ограничивать право свободного обращения информации режимом государственной тайны, а право тайны частной жизни ограничивать в рамках проведения оперативно-розыскных мероприятий и следственных действий. Каким образом государство может обеспечить выполнение этих функций? На этот вопрос должны были бы ответить статья 12 "Государственное регулирование в сфере применения информационных технологий" и статья 16 "Защита информации" Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон "Об информации..."). Однако положения этих статей сформулированы недостаточно конкретно <3> и полно. В Доктрине информационной безопасности Российской Федерации указывается на необходимость разработки "основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики", развития и совершенствования "системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам". -------------------------------- <3> В частности, государственное регулирование в сфере применения информационных технологий предусматривает: "1) регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий (информатизации), на основании принципов, установленных указанным Федеральным законом; 2)развитие информационных систем различного назначения для обеспечения граждан (физических лиц), организаций, государственных органов и органов местного самоуправления информацией, а также обеспечение взаимодействия таких систем; 3)создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети Интернет и иных подобных информационно-телекоммуникационных сетей. 2. Государственные органы, органы местного самоуправления в соответствии со своими полномочиями: 1) участвуют в разработке и реализации целевых программ применения информационных технологий; 2) создают информационные системы и обеспечивают доступ к содержащейся в них информации на русском языке и государственном языке соответствующей республики в составе Российской Федерации".
Решены ли эти задачи за прошедшие восемь лет? По нашему мнению, не в полной мере. Государственная политика не сформулирована. Утвержденная Президентом Российской Федерации 7 февраля 2008 г. Стратегия развития информационного общества в Российской Федерации вопросы обеспечения информационной безопасности ставит как задачу "обеспечения национальной безопасности в информационной сфере", но не предлагает никаких решений. Вопросы координации деятельности органов государственной власти решаются недостаточно эффективно, строго говоря, и координирующего органа не существует. Функции распределены по органам исполнительной власти, каждый из которых реализует свою политику, свои подходы. Это особенно очевидно проявляется при подготовке проектов федеральных законов, концепции которых существенно различаются в общих моментах, когда их готовят разные министерства. Процедура согласования проектов в Правительстве РФ, к сожалению, эти различия не устраняет. Так было при внесении в Государственную Думу проектов Федеральных законов "О персональных данных", "Об информации, информационных технологиях и о защите информации" и "Об обеспечении доступа к информации о деятельности органов государственной власти и органов местного самоуправления" <4>. -------------------------------- <4> Например, различаются подходы в определении общедоступной информации (общедоступных персональных данных). Так, согласно Федеральному закону "О персональных данных" общедоступными являются в том числе персональные данные, "на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности", то есть ограничение на доступ формулируется как юридическое, и если нет такого ограничения - информация имеет правовой статус общедоступной. А в Федеральном законе "Об информации..." "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен". Здесь ограничение на доступ физическое, при этом не будет ясен правовой статус информации, к которой доступ не ограничен, но она физически не общедоступна. Ограничение в доступе должно быть не физическим, а юридическим, этот принцип реализован и в других федеральных законах (в том числе в ФЗ "Об обязательном страховании гражданской ответственности владельцев транспортных средств", "О рынке ценных бумаг", "О гидрометеорологической службе" и др.). Дифференциация оснований для отнесения информации к общедоступной необходима для выделения субъектов, для которых защита такой информации является обязанностью. Еще один пример. В Федеральном законе "Об информации..." положения о персональных данных включены в статью, где перечислены виды информации ограниченного доступа (государственная, коммерческая, служебная, профессиональная тайны). А в Федеральном законе "О персональных данных" персональные данные определены просто как вид информации. В этом же Законе конфиденциальность персональных данных определяется как требование "не допускать распространения информации без согласия субъекта персональных данных или наличия иного законного основания". В Федеральном законе "Об информации..." конфиденциальность информации - это обязательное "требование не передавать такую информацию третьим лицам без согласия ее обладателя". При этом Закон не определяет действие по передаче информации.
Таким образом, главная функция государства - разработка и создание механизмов формирования и реализации государственной политики в области информационной безопасности - в Федеральном законе "Об информации..." в явной форме не обозначена. Второй очевидной функцией власти являются разработка и совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации. Здесь ситуация характеризуется отсутствием стратегии, планирования и координации даже в рамках деятельности Правительства РФ. Законопроекты вносятся по мере их подготовки, несогласованно, поскольку в план включаются только те законопроекты, по которым проведены все предварительные согласования и подготовлен пакет документов (то есть включается не то, что должно разрабатываться исходя из стратегии, а то, что более или менее готово и согласовано). Так, в Государственную Думу был внесен Правительством РФ проект Федерального закона "Об обеспечении доступа к информации о деятельности органов государственной власти и органов местного самоуправления", реализация которого в большой степени зависит от правовой регламентации режима служебной тайны, однако ссылка на Закон "О служебной тайне" не сопровождалась внесением соответствующего законопроекта. Более шести лет ограниченно реализуется (только для корпоративных систем) Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи", проект которого вносился Правительством РФ. Однако изменения закона, обеспечивающие более широкое использование электронной цифровой подписи, никак не согласовываются между органами власти. О несовершенстве процедуры согласования проектов в Правительстве РФ говорилось выше. К сожалению, и в Государственной Думе, если ответственными за законопроекты назначаются разные комитеты, обеспечить их согласование очень сложно. Помимо установления норм ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности, государство обязано обеспечить реализацию принципа неотвратимости наказания, то есть найти правонарушителя и привлечь его к ответственности. Российское законодательство содержит нормы административной и уголовной ответственности. Из года в год повышается количество выявленных и раскрытых преступлений в сфере компьютерной информации. Судьи учатся разбираться в делах, связанных с нарушением информационного законодательства и законодательства о связи. Вместе с тем некоторые виды нарушений становятся практически массовыми. Например, нарушения с использованием Интернета авторских прав на программы для ЭВМ, базы данных, на произведения науки, литературы и искусства. В этой ситуации инструментов государственного принуждения явно недостаточно, общество должно подключиться к борьбе с правовым нигилизмом. Следующей задачей государства в сфере обеспечения информационной безопасности является разработка федеральных целевых программ (ФЦП) обеспечения информационной безопасности Российской Федерации. Не ФЦП, но проекты создания систем защиты информации в рамках ФЦП, разработки нормативных правовых актов, направленных на эти цели, реализуются. Однако в отсутствие объявленных и обоснованных приоритетов, обусловленных стратегическими целями, эти проекты носят разрозненный несистемный характер и существенным образом не содействуют сохранению и развитию отечественной отрасли информационной безопасности, которая, по мнению экспертов, пока сохраняет конкурентоспособность. Очевидно, что ФЦП должны быть направлены на обеспечение технологической независимости Российской Федерации в важнейших областях применения информационно-телекоммуникационных технологий, определяющих ее безопасность (в первую очередь в области создания образцов вооружения и военной техники), разработку современных методов и средств защиты информационно-телекоммуникационных технологий (прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами). Состояние информационной безопасности в России характеризуется высоким уровнем технологической зависимости. Это касается как технических средств, так и программного обеспечения, в первую очередь системного. Такая зависимость в некоторых секторах государственного управления может создать угрозу национальной безопасности. Эта проблема осознается ведущими странами Европы и Азии, которые ищут альтернативу продукции Майкрософта в разработке национальных программных продуктов на основе систем с открытым кодом. Подобные разработки необходимы и России, заказчиком их, несомненно, должно быть государство. Инструментом реализации государственной политики является также установление требований к тем или иным видам деятельности или используемым технологиям. В соответствии с положениями Конституции Российской Федерации эти требования должны устанавливаться только федеральными законами. Отдельные виды деятельности могут осуществляться в уведомительном или разрешительном порядке. В уведомительном порядке, например, может осуществляться деятельность удостоверяющих центров (см. Федеральный закон "Об электронной цифровой подписи") и операторов информационных систем персональных данных (см. Федеральный закон от 27 июля 2007 г. N 152-ФЗ "О персональных данных"). В разрешительном порядке осуществляются виды деятельности, которые подлежат лицензированию в соответствии с Федеральным законом от 8 августа 2001 г. N 128-ФЗ "О лицензировании отдельных видов деятельности". Этим законом устанавливается лицензирование девяти видов деятельности в области обеспечения информационной безопасности, четыре из которых касаются разработки и использования шифровальных (криптографических) средств. Также лицензированию подлежат деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, деятельность по разработке и (или) производству средств защиты конфиденциальной информации; разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность. Хотелось бы остановиться на одной из позиций перечня: "деятельность по технической защите конфиденциальной информации", под которой, согласно Постановлению Правительства РФ от 15 августа 2006 г. N 504, понимается "комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней". Указанная в Постановлении конкретизация лицензируемого вида деятельности позволяет предъявлять соответствующие требования не только к лицам, осуществляющим услуги по защите конфиденциальной информации, но и к лицам, защищающим свою собственную конфиденциальную информацию, например информацию, составляющую коммерческую тайну. Таким образом, требования данного Постановления могут распространяться на всех юридических лиц, занимающихся предпринимательской деятельностью, что противоречит положениям ст. 4 Федерального закона "О лицензировании отдельных видов деятельности", устанавливающей критерии определения лицензируемых видов деятельности. В соответствии со ст. 4 "к лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием". Однако нарушение конфиденциальности коммерческой тайны наносит ущерб только самому обладателю коммерческой тайны. Принятие Федерального закона "О персональных данных" заметно стимулировало процессы лицензирования деятельности по технической защите конфиденциальной информации (в данном случае персональных данных). Все организации, создающие информационные системы, содержащие персональные данные, понуждаются к лицензированию деятельности по их технической защите. Употребляю глагол "понуждаются", поскольку законом требование лицензирования не установлено. А поскольку такие информационные системы (кадровые, потребителей услуг и т. п.) создают практически любые юридические лица, то масштабы лицензирования огромны, а лицензирование становится не исключением, а правилом. Кроме лицензируемых видов деятельности, определенных указанным выше Федеральным законом, лицензированию подлежат также виды деятельности в области связи. Дело в том, что действие Федерального закона "О лицензировании отдельных видов деятельности" не распространяется на деятельность в области связи, которая регулируется отраслевым законодательством. Федеральным законом от 7 июля 2003 г. N 126-ФЗ "О связи" устанавливается, что деятельность юридических лиц и индивидуальных предпринимателей по возмездному оказанию услуг связи осуществляется только на основании лицензии на осуществление деятельности в области оказания услуг связи. Однако, в отличие от базового Закона "О лицензировании отдельных видов деятельности", Перечень наименований услуг связи, вносимых в лицензии, и соответствующие Перечни лицензионных условий устанавливаются Правительством Российской Федерации и ежегодно уточняются. Сейчас таких видов деятельности 20 <5>. Целесообразность подобной детализации лицензируемых видов деятельности в условиях усиливающейся в области связи конвергенции вызывает сомнения. Одной из важнейших функций государства является техническое регулирование, то есть правовое регулирование отношений в области установления и применения обязательных требований или принимаемых на добровольной основе требований к продукции или процессам, выполнению работ или оказанию услуг и правовое регулирование отношений в области оценки соответствия" <6>. Технические регламенты должны с учетом степени риска причинения вреда устанавливать минимально необходимые требования, обеспечивающие различные виды безопасности, в том числе безопасность излучений; биологическую безопасность; взрывобезопасность; механическую безопасность; пожарную безопасность; промышленную безопасность; термическую безопасность; химическую безопасность; электрическую безопасность; ядерную и радиационную безопасность; электромагнитную совместимость в части обеспечения безопасности работы приборов и оборудования. Информационная безопасность как отдельный вид в Федеральном законе не выделена, и этому есть объяснение. В настоящее время любые системы обеспечения безопасности включают как минимум элементы автоматизации, следовательно, обеспечение информационной безопасности является необходимым условием обеспечения конкретного вида безопасности. Действие Федерального закона "О техническом регулировании" не распространяется на требования к функционированию единой сети связи Российской Федерации и к продукции, связанные с обеспечением целостности, устойчивости функционирования указанной сети связи и ее безопасности. Эти отношения регулируются законодательством Российской Федерации в области связи. Кроме того, данным Законом установлено, что в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, и (или) государственными контрактами (договорами). Особенности технического регулирования и оценки соответствия указанной продукции (работ, услуг) устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями. В соответствии с положениями Федерального закона "Об информации..." федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий могут быть установлены требования о защите информации, содержащейся в государственных информационных системах (ст. 16). Пока такие требования (обязательная сертификация) установлены только в отношении технических, криптографических, программных и других средств, предназначенных для защиты сведений, составляющих государственную тайну, средств, в которых они реализованы, а также средств контроля эффективности защиты информации <7>. Системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции. -------------------------------- <5> Постановление Правительства РФ от 18 февраля 2005 г. N 87. <6> Федеральный закон от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании". <7> Постановление Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" (с последующими изменениями).
В соответствии с Федеральным законом "О персональных данных" Правительство Российской Федерации установило требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных <8>, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных <9>. В развитие Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 совместным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 был утвержден Порядок проведения классификации информационных систем персональных данных. Также во исполнение п. 2 этого Постановления Федеральной службой безопасности Российской Федерации утверждены Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных и Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Документы предоставляются оператору по его запросу. Одновременно во исполнение того же пункта Постановления Федеральной службой по техническому и экспортному контролю в пределах ее компетенции утвержден пакет методических документов, определяющих базовую модель угроз безопасности персональных данных, рекомендации по обеспечению безопасности, а также основные мероприятия по организации и техническому обеспечению безопасности персональных данных при их обработке в соответствующих информационных системах. Указанные документы носят методический, рекомендательный характер и призваны помочь оператору информационной системы персональных данных выстроить грамотную систему защиты таких данных. Однако в соответствии с Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора". Есть большая вероятность, что эти методические материалы будут использоваться в качестве обязательных требований при проверке защищенности информационных систем персональных данных. Кроме того, методические документы ФСТЭК России имеют гриф "Для служебного пользования", следовательно, с ними не может ознакомиться любой субъект, предполагающий заниматься деятельностью, сопряженной с созданием и использованием информационных систем персональных данных. Очевидно, что таких субъектов очень много (юридические лица, предприниматели без образования юридического лица, органы государственной власти, органы местного самоуправления, их организации, общественные организации и т. д.). Права большинства из них ограничиваются в связи с установлением режима ограниченного доступа к информации, непосредственно затрагивающей их права и свободы. Для такого ограничения нет никаких юридических оснований, поскольку ограничительный гриф "Для служебного пользования" федеральным законом не установлен. Федеральный закон, регулирующий порядок установления режима служебной тайны, не принят. Действующее Постановление Правительства Российской Федерации от 3 ноября 1994 г. N 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" распространяется соответственно только на указанные органы. Данное утверждение базируется на следующей логике: ограничение доступа к информации означает ограничение конституционных прав граждан, которое в соответствии с ч. 3 ст. 55 Конституции РФ должно быть установлено федеральным законом, это же требование содержится в ч. 4 ст. 9 Федерального закона "Об информации...". Однако в отношении указанного Постановления Правительства было несколько решений Верховного Суда РФ и Конституционного Суда РФ, которые допускают установление указанных ограничений не только федеральными законами, но и указами Президента РФ и постановлениями Правительства <10>. Правоприменителю предстоит осмыслить эти решения. -------------------------------- <8> Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". <9> Постановление Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении Требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных". <10> См.: Определение Конституционного Суда Российской Федерации от 11 июля 2006 г. N 269-О "Об отказе в принятии к рассмотрению жалобы гражданина Павлова Ивана Юрьевича на нарушение его конституционных прав пунктами 1.2 и 1.7 Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти".
Среди важнейших функций государства в области обеспечения информационной безопасности следует отметить взаимодействие с международными и зарубежными органами и организациями в процессах формирования системы международной информационной безопасности, создания и использования глобальных информационных сетей и систем. Определяющую роль играет государство в создании единой системы подготовки кадров в области информационной безопасности и информационных технологий. Несмотря на то что большое количество высших учебных заведений готовят специалистов в указанных областях, работодатели все чаще сетуют на недостаточную подготовку выпускников. По-видимому, быстрое развитие информационных технологий, появление новых информационных угроз, необходимость оперативного реагирования на них при создании систем защиты требуют постоянного совершенствования учебных программ, создания системы переподготовки кадров, повышения квалификации, новых подходов к организации производственной практики студентов. Понятие информационной безопасности в соответствии с Доктриной информационной безопасности Российской Федерации носит достаточно общий характер, оно включает как защиту информации, так и, образно говоря, защиту от информации, а также защиту информационных сетей и систем, защиту прав и свобод, связанных с информацией (в том числе прав на доступ к информации, интеллектуальных прав, свободы массовой информации). Такое многообразие задач затрудняет координацию усилий различных органов власти, полномочия которых так или иначе распространяются на регулирование информационной сферы. Далее предлагается сосредоточить внимание на роли государства в области защиты информации. Общие положения по защите информации устанавливает Федеральный закон "Об информации..." (ст. 16). Закон рассматривает защиту информации как комплекс "правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации". Последняя цель на первый взгляд не имеет отношения к защите информации. Но это не так. Защищать необходимо не только информацию ограниченного доступа, но и открытую информацию, доступ к которой должен быть неограничен. Это также задача государства в отношении информации, предоставляемой для всеобщего сведения органами государственной власти и органами местного самоуправления. Следующая категория защищаемой информации - это информация ограниченного доступа, находящаяся в любом режиме конфиденциальности. Но роль государства принципиально различна в обеспечении различных режимов. Общедоступную информацию следует защищать от блокирования доступа, уничтожения, модификации (искажения). Информацию ограниченного доступа - от уничтожения, модификации, незаконного копирования, разглашения, незаконного доступа, незаконного использования. Кто должен защищать информацию? Субъект, обязанный представлять публично (размещать в Сети) информацию о своей деятельности (обладатель информации). Обладатель информации, имеющий право ограничивать доступ к информации о себе или о своей деятельности. Субъект, обязанный защищать информацию, полученную им в режиме конфиденциальности от ее обладателя. Таким образом, в число этих субъектов входят государство, организации, физические лица. Иными словами, государство может выступать в качестве любого из указанных субъектов. Государство в лице органов исполнительной власти защищает предоставляемую для всеобщего сведения информацию. Государство защищает сведения, составляющие государственную тайну. Государство обязано защищать сведения конфиденциального характера, представляемые в органы государственной власти. Где установлены соответствующие права и обязанности? По общему правилу они должны быть установлены законом либо вытекать из закона. В отношении открытой информации такого закона нет. Предполагается, что соответствующие положения будут включены в проект Федерального закона "Об обеспечении доступа к информации о деятельности органов государственной власти и органов местного самоуправления" (находится на рассмотрении Государственной Думы). В отношении информации ограниченного доступа, напротив, многообразие законов. В российском законодательстве исследователи насчитали более 40 видов тайн <11>. К сожалению, отсутствует общепринятая система их классификации <12>, поэтому при определении роли государства в реализации и защите различных режимов тайн я вправе опираться на авторскую концепцию, которая предусматривает классификацию тайн по способу их образования: -------------------------------- <11> См.: Лопатин В. Н. Информационная безопасность России: Человек. Общество. Государство. СПб., 2000. 428 с.; Бачило И. Л., Лопатин В. Н., Федотов М. А. Информационное право: Учебник / Под ред. акад. РАН Б. Н. Топорнина. 2-е изд., с изм. и доп. СПб.: Издательство Р. Асланова "Юридический центр Пресс", 2005. 725 с. <12> Прим. редакции: Проект такой классификации был подготовлен в рамках концепции развития законодательства в сфере информационной безопасности, которая была одобрена решением Комитета Государственной Думы по безопасности в 1998 г. См.: Лопатин В. Н. Концепция развития законодательства в сфере обеспечения информационной безопасности. Издание Государственной Думы РФ. М., 1998. 159 с.
- первичные (естественные) тайны, которые непосредственно связаны с жизнедеятельностью субъекта; - производные тайны, которые связаны с защитой информации другого субъекта, получаемой в режиме тайны <13>. -------------------------------- <13> См.: Волчинская Е. К. Коммерческая тайна в системе конфиденциальной информации // Информационное право. 2005. N 3. С. 17 - 21.
В состав первичных тайн входят: личная и семейная тайны - тайна физического лица; коммерческая тайна - тайна юридического лица, осуществляющего предпринимательскую деятельность; государственная и служебная (в части внутрисистемной информации) тайны - тайна государства, в том числе в лице органа государственной власти. Здесь и далее я говорю о служебной тайне в концепции законопроекта, внесенного в Государственную Думу, в соответствии с которой информация, составляющая служебную тайну, включает в себя: - информацию, создаваемую (генерируемую) в органе государственной власти, доступ к которой временно ограничен в интересах государственного управления по решению руководителя; - информацию ограниченного доступа, представляемую в этот орган в режиме конфиденциальности. В состав производных тайн входят: - профессиональные тайны, когда информация передается субъекту профессиональной деятельности от физических лиц в режиме личной или семейной тайны (врачебная тайна, тайна исповеди, тайна банковских вкладов, тайна усыновления, налоговая, нотариальная и др.) либо от юридических лиц в режиме коммерческой тайны (налоговая, банковская, нотариальная и др.); - служебная тайна в части переданной в органы власти от физических и юридических лиц информации ограниченного доступа. Принципиальное различие этих категорий тайн состоит в том, что для первичных тайн у субъектов есть право на установление режима конфиденциальности, а для производных тайн у лица, которому доверена информация ограниченного доступа, возникает обязанность устанавливать соответствующий режим конфиденциальности. Максимальный объем регулирования со стороны государства приходится на государственную и служебную тайны. В отношении других видов первичных тайн государство должно уступить право основного регулятора тем субъектам, которые образуют (устанавливают) эти режимы. Задача государства - обеспечить защиту их прав и интересов с учетом интересов других субъектов. Упорядочивание видов тайн, а возможно, и формирование некой иерархии необходимо как минимум для того, чтобы выстроить оптимальную систему ответственности за их разглашение и оптимальную систему требований по защите каждого вида тайн. В отсутствие такой иерархии и системы нарушается принцип разумной достаточности. В частности, уголовная ответственность за разглашение государственной тайны (ст. 283 УК РФ) оказывается ниже, чем за разглашение коммерческой тайны (ст. 183 УК РФ), а требования к защите персональных данных выходят на уровень требований по защите государственной тайны. Вряд ли это правильно. Государство законодательно устанавливает для первичных тайн: - ограничения на введение режима тайны для информации, к которой есть общественный интерес; - обязанность и условия предоставления информации ограниченного доступа другим лицам, в том числе в органы государственной власти для осуществления государственного управления и отправления правосудия; - в отдельных случаях - требования к используемым средствам защиты конфиденциальной информации или ограничения на использование таких средств; - в отдельных случаях - требования к субъектам, обеспечивающим защиту информации, составляющей тайну; - меры ответственности за нарушение конфиденциальности информации. В частности, для защиты государственной тайны законодательно установлены: - сведения, не подлежащие отнесению к государственной тайне и засекречиванию; - порядок отнесения сведений к государственной тайне и порядок засекречивания, с учетом ограничения прав обладателя на эту информацию; - порядок передачи сведений, составляющих государственную тайну, другим субъектам (даже государствам); - порядок допуска к соответствующим сведениям, включающий требование лицензирования деятельности, связанной с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, осуществлением мероприятий или оказанием услуг по защите государственной тайны, сертификацию средств защиты информации; - ответственность за разглашение и другие нарушения режима государственной тайны. Для других первичных тайн (прежде всего для коммерческой тайны) государство не вправе устанавливать: - жесткий порядок отнесения сведений к коммерческой тайне и порядок введения режима коммерческой тайны; - порядок передачи сведений, составляющих коммерческую тайну, другим субъектам, за исключением органов власти; - требования лицензирования деятельности, связанной с использованием сведений, составляющих коммерческую тайну; - требование использования сертифицированных средств защиты информации, составляющей коммерческую тайну. Государством могут быть установлены только минимальные разумно достаточные требования, необходимые для защиты прав обладателя коммерческой тайны, или приняты рекомендации. Требование лицензирования может относиться только к деятельности организаций, оказывающих услуги по защите коммерческой тайны. Государство законодательно устанавливает для производных тайн: - обязанность лиц, которым доверена информация, составляющая первичные тайны, обеспечивать ее конфиденциальность; - меры ответственности за нарушение конфиденциальности доверенной информации; - условия предоставления доверенной информации третьим лицам; - в отдельных случаях требования к используемым средствам защиты конфиденциальной информации или ограничения на использование таких средств. При разработке ФСТЭК России указанных выше методических материалов для защиты персональных данных авторы исходили из того, что персональные данные являются информацией ограниченного доступа, конфиденциальной информацией. Однако, по нашему мнению, место персональных данных в системе информации ограниченного доступа особое. Федеральный закон "О персональных данных" определил предмет правоотношений как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию. В соответствии с Федеральным законом "Об информации..." персональные данные не отнесены в явной форме к категории конфиденциальной информации. Собственно, и категория такая в базовом Законе отсутствует. Во-первых, далеко не все персональные данные являются конфиденциальными. Во-вторых, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа. Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме коммерческой или профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг. В режиме личной тайны - сведения об особенностях личности, ее пристрастиях, привычках, интересах. Однако место этих данных не определено. Закон ограничился отсылочной нормой. Учитывая вышесказанное, можно утверждать, что персональные данные - это вид сведений, непосредственно связанных с личностью и позволяющих ее идентифицировать, но не режим тайны. Законодательное регулирование сбора и использования персональных данных обусловлено защитой неприкосновенности частной жизни как базового конституционного принципа. Таким образом, мы обозначили основные функции государства в сфере обеспечения информационной безопасности и убедились в том, что поле деятельности огромно, хотя бы потому, что проблемы информационной безопасности в той или иной мере касаются каждого человека, общества в целом, государственных институтов. Вместе с тем деятельность государства требует осмысления и совершенствования в целях создания благоприятных условий для использования информационных и коммуникационных технологий во всех сферах жизни, защиты интересов личности, общества и государства при вхождении России в глобальное информационное общество.
Название документа