Информация: дилемма безопасности и доступности
(Козориз Н. Л.) ("Право в Вооруженных Силах", 2012, N 12) Текст документаИНФОРМАЦИЯ: ДИЛЕММА БЕЗОПАСНОСТИ И ДОСТУПНОСТИ
Н. Л. КОЗОРИЗ
Козориз Н. Л., доцент кафедры военной администрации, административного и финансового права Военного университета, кандидат философских наук, кандидат юридических наук, доцент.
Рассмотрены основные направления государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики.
Ключевые слова: информация, безопасность, пути нейтрализации угроз.
Information: security dilemma and availability N. L. Kozoriz
The main directions of the state policy in the field of information security, as well as the activities and mechanisms associated with the implementation of this policy.
Key words: information security, ways to neutralize threats.
В Доктрине информационной безопасности Российской Федерации <1> указывается на необходимость разработки "основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики", развития и совершенствования "системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам". -------------------------------- <1> Утверждена Президентом Российской Федерации 9 сентября 2000 г. N Пр-1895.
Решены ли поставленные задачи за прошедшие десять лет? По нашему мнению, не в полной мере. Государственная политика не сформулирована. Утвержденная Президентом Российской Федерации 7 февраля 2008 г. Стратегия развития информационного общества в Российской Федерации вопросы обеспечения информационной безопасности ставит как задачу "обеспечения национальной безопасности в информационной сфере", но не предлагает никаких решений. Вопросы координации деятельности органов государственной власти решаются недостаточно эффективно, строго говоря, и координирующего органа не существует. Функции распределены по органам исполнительной власти, каждый из которых реализует свою политику, свои подходы. Это особенно очевидно проявляется при подготовке проектов федеральных законов, концепции которых существенно различаются в общих моментах, когда их готовят разные министерства. Процедура согласования проектов в Правительстве Российской Федерации, к сожалению, эти различия не устраняет. Так было при внесении в Государственную Думу проектов Федеральных законов "О персональных данных", "Об информации, информационных технологиях и о защите информации" и "Об обеспечении доступа к информации о деятельности органов государственной власти и органов местного самоуправления". Различаются подходы в определении общедоступной информации (общедоступных персональных данных). Согласно Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" общедоступными являются, в частности, персональные данные, "на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности", т. е. ограничение на доступ формулируется как юридическое, и если нет такого ограничения, то информация имеет правовой статус общедоступной. А в Федеральном законе от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон) "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен" (ст. 7). Здесь ограничение на доступ физическое, при этом не будет ясен правовой статус информации, к которой доступ не ограничен, но она физически не общедоступна. Ограничение в доступе должно быть не физическим, а юридическим, этот принцип реализован и в других федеральных законах (в том числе в Федеральных законах "Об обязательном страховании гражданской ответственности владельцев транспортных средств", "О рынке ценных бумаг", "О гидрометеорологической службе" и др.). Дифференциация оснований для отнесения информации к общедоступной необходима для выделения субъектов, для которых защита такой информации является обязанностью. Еще один пример. В Законе положения о персональных данных включены в статью, где перечислены виды информации ограниченного доступа (государственная, коммерческая, служебная, профессиональная тайны). А в Федеральном законе "О персональных данных" персональные данные определены просто как вид информации. Здесь же конфиденциальность персональных данных определяется как требование "не допускать распространения информации без согласия субъекта персональных данных или наличия иного законного основания". В Законе конфиденциальность информации - это обязательное "требование не передавать такую информацию третьим лицам без согласия ее обладателя". При этом Закон не определяет действие по передаче информации. Таким образом, одна из главных функций государства - разработка и создание механизмов формирования и реализации государственной политики в области информационной безопасности - в Законе в явной форме не указана. Второй очевидной функцией власти являются разработка и совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации. Здесь ситуация характеризуется отсутствием стратегии, планирования и координации даже в рамках деятельности Правительства Российской Федерации. Законопроекты вносятся по мере их подготовки, несогласованно, поскольку в план включаются только те законопроекты, по которым проведены все предварительные согласования и подготовлен пакет документов (т. е. включается не то, что должно разрабатываться исходя из Стратегии, а то, что более или менее готово и согласованно). Так, в Государственную Думу был внесен Правительством Российской Федерации проект Федерального закона "Об обеспечении доступа к информации о деятельности органов государственной власти и органов местного самоуправления", реализация которого в большой степени зависит от правовой регламентации режима служебной тайны, однако ссылка на Закон "О служебной тайне" не сопровождалась внесением соответствующего законопроекта. Более десяти лет ограниченно реализовывался (только для корпоративных систем) Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи", проект которого вносился Правительством Российской Федерации. Однако изменения Закона, обеспечивающие более широкое использование электронной цифровой подписи, никак не согласовывались между органами власти. В результате 1 июля 2013 г. указанный Закон утрачивает силу в связи с принятием Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи". О несовершенстве процедуры согласования проектов в Правительстве Российской Федерации говорилось выше. К сожалению, и в Государственной Думе, если ответственными за законопроекты назначаются разные комитеты, обеспечить их согласование очень сложно. Помимо установления норм ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности государство обязано обеспечить реализацию принципа неотвратимости наказания, т. е. найти правонарушителя и привлечь его к ответственности. Российское законодательство содержит нормы административной и уголовной ответственности за указанные правонарушения. Из года в год повышается количество выявленных и раскрытых преступлений в сфере компьютерной информации. Судьи учатся разбираться в делах, связанных с нарушением информационного законодательства и законодательства о связи. Вместе с тем некоторые виды нарушений становятся практически массовыми. Например, нарушения с использованием Интернета авторских прав на программы для ЭВМ, базы данных, на произведения науки, литературы и искусства. В этой ситуации инструментов государственного принуждения явно недостаточно, общество должно подключиться к борьбе с правовым нигилизмом. Следующей задачей государства в сфере регулирования информационной безопасности является разработка федеральных целевых программ (ФЦП) обеспечения информационной безопасности Российской Федерации. Не ФЦП, но проекты создания систем защиты информации в рамках ФЦП, разработки нормативных правовых актов, направленных на эти цели, реализуются. Однако в отсутствие объявленных и обоснованных приоритетов, обусловленных стратегическими целями, эти проекты носят разрозненный несистемный характер и существенным образом не содействуют сохранению и развитию отечественной отрасли информационной безопасности, которая, по мнению экспертов, пока сохраняет конкурентоспособность. Очевидно, что ФЦП должны быть направлены на обеспечение технологической независимости Российской Федерации в важнейших областях применения информационно-телекоммуникационных технологий, определяющих ее безопасность (в первую очередь в области создания образцов вооружения и военной техники), разработку современных методов и средств защиты информационно-телекоммуникационных технологий (прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами). Состояние информационной безопасности в России характеризуется высоким уровнем технологической зависимости. Это касается как технических средств, так и программного обеспечения, в первую очередь системного. Такая зависимость в некоторых секторах государственного управления может создать угрозу национальной безопасности. Эта проблема осознается ведущими странами Европы и Азии, которые ищут альтернативу продукции "Майкрософт" в разработке национальных программных продуктов на основе систем с открытым кодом. Подобные разработки необходимы и России, заказчиком их, несомненно, должно быть государство. Инструментом реализации государственной политики является также установление требований к тем или иным видам деятельности или используемым технологиям. В соответствии с положениями Конституции Российской Федерации эти требования должны устанавливаться только федеральными законами. Отдельные виды деятельности могут осуществляться в уведомительном или разрешительном порядке. В уведомительном порядке, например, может осуществляться деятельность удостоверяющих центров и операторов информационных систем персональных данных <2>. -------------------------------- <2> Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи"; Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
В разрешительном порядке осуществляются виды деятельности, которые подлежат лицензированию в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности". Этим Законом устанавливается лицензирование девяти видов деятельности в области обеспечения информационной безопасности, четыре из которых касается разработки и использования шифровальных (криптографических) средств. Также лицензированию подлежат деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, деятельность по разработке и (или) производству средств защиты конфиденциальной информации; разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность. Хотелось бы остановиться на одной из позиций перечня, приведенного в вышеназванном Федеральном законе, - "деятельность по технической защите конфиденциальной информации", под которой понимаются "выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней" <3>. Указанная в названном Постановлении конкретизация лицензируемого вида деятельности позволяет предъявлять соответствующие требования не только к лицам, осуществляющим услуги по защите конфиденциальной информации, но и к лицам, защищающим свою собственную конфиденциальную информацию, например информацию, составляющую коммерческую тайну. Таким образом, требования указанного Постановления могут распространяться на всех юридических лиц, занимающихся предпринимательской деятельностью, что противоречит положениям ст. 4 Федерального закона "О лицензировании отдельных видов деятельности", устанавливающей критерии определения лицензируемых видов деятельности <4>. Однако нарушение конфиденциальности коммерческой тайны наносит ущерб только самому обладателю коммерческой тайны. -------------------------------- <3> Постановление Правительства Российской Федерации от 3 февраля 2012 г. N 79. <4> В соответствии со ст. 2 "лицензирование отдельных видов деятельности осуществляется в целях предотвращения ущерба правам, законным интересам, жизни или здоровью граждан, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, обороне и безопасности государства, возможность нанесения которого связана с осуществлением юридическими лицами и индивидуальными предпринимателями отдельных видов деятельности. Осуществление лицензирования отдельных видов деятельности в иных целях не допускается... 3. К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение указанного в части 1 настоящей статьи ущерба и регулирование которых не может осуществляться иными методами, кроме как лицензированием".
Принятие Федерального закона "О персональных данных" заметно стимулировало процессы лицензирования деятельности по технической защите конфиденциальной информации (в данном случае персональных данных). Все организации, создающие информационные системы, содержащие персональные данные, понуждаются к лицензированию деятельности по их технической защите. Употребляю глагол "понуждаются", поскольку законом требование лицензирования не установлено. А поскольку такие информационные системы (кадровые, потребителей услуг и т. п.) создают практически любые юридические лица, то масштабы лицензирования огромны, а лицензирование становится не исключением, а правилом. Кроме лицензируемых видов деятельности, определенных указанным выше Федеральным законом, лицензированию подлежат также виды деятельности в области связи. Дело в том, что действие Федерального закона "О лицензировании отдельных видов деятельности" не распространяется на деятельность в области связи, которая регулируется отраслевым законодательством. Федеральным законом от 7 июля 2003 года N 126-ФЗ "О связи" устанавливается, что деятельность юридических лиц и индивидуальных предпринимателей по возмездному оказанию услуг связи осуществляется только на основании лицензии на осуществление деятельности в области оказания услуг связи. Однако, в отличие от базового Федерального закона "О лицензировании отдельных видов деятельности", Перечень наименований услуг связи, вносимых в лицензии, и соответствующие перечни лицензионных условий устанавливаются Правительством Российской Федерации и ежегодно уточняются. В настоящее время таких видов деятельности 20 <5>. Целесообразность подобной детализации лицензируемых видов деятельности в условиях усиливающейся в области связи конвергенции вызывает сомнения. Одной из важнейших функций государства является техническое регулирование, т. е. "правовое регулирование отношений в области установления и применения обязательных требований или принимаемых на добровольной основе требований к продукции или процессам, выполнению работ или оказанию услуг и правовое регулирование отношений в области оценки соответствия" <6>. Технические регламенты должны с учетом степени риска причинения вреда устанавливать минимально необходимые требования, обеспечивающие различные виды безопасности, в том числе безопасность излучений; биологическую безопасность; взрывобезопасность; механическую безопасность; пожарную безопасность; промышленную безопасность; термическую безопасность; химическую безопасность; электрическую безопасность; ядерную и радиационную безопасность; электромагнитную совместимость в части обеспечения безопасности работы приборов и оборудования. Информационная безопасность как отдельный вид в Федеральном законе не выделена, и этому есть объяснение. В настоящее время любые системы обеспечения безопасности включают как минимум элементы автоматизации, следовательно, обеспечение информационной безопасности является необходимым условием обеспечения конкретного вида безопасности. Действие Федерального закона "О техническом регулировании" не распространяется на требования к функционированию единой сети связи Российской Федерации и к продукции, связанные с обеспечением целостности, устойчивости функционирования указанной сети связи и ее безопасности. Эти отношения регулируются законодательством Российской Федерации в области связи. Кроме того, названным Законом установлено, что в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, и (или) государственными контрактами (договорами). Особенности технического регулирования и оценки соответствия указанной продукции (работ, услуг) предъявляемым требованиям устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями. В соответствии с положениями Закона федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий могут быть установлены требования о защите информации, содержащейся в государственных информационных системах (ст. 16). Пока такие требования (обязательная сертификация) установлены только в отношении технических, криптографических, программных и других средств, предназначенных для защиты сведений, составляющих государственную тайну, средств, в которых они реализованы, а также средств контроля эффективности защиты информации <7>. Системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции. -------------------------------- <5> Постановление Правительства Российской Федерации от 18 февраля 2005 г. N 87. <6> Федеральный закон от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании". <7> Постановление Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" (в редакции от 17 декабря 2004 г.).
При нарушении права на доступ к информации возможна гражданско-правовая, административная и уголовная ответственность. Если в КоАП РСФСР предусматривалась административная ответственность в 17 случаях, то в КоАП РФ такая ответственность предусмотрена в 30 случаях (ст. ст. 5.6, 5.14, 5.17, 5.25, 5.29, 5.39, 8.5, 13.16, 13.17, 13.18, 13.20, 14.5, 14.8, 14.13 (п. 1), 14.24 (п. 3), 14.25 (п. п. 2, 3), 15.4, 15.5, 15.6, 15.7, 15.13, 15.19, 15.23, 17.2, 17.6, 19.7, 19.8, 19.9, 32.11). К основным административным правонарушениям среди них можно отнести правонарушения, предусмотренные следующими статьями КоАП РФ: ст. 5.39 (отказ в предоставлении гражданину информации), ст. 8.5 (сокрытие или искажение экологической информации), ст. 13.17 (нарушение правил распространения обязательных сообщений), ст. 13.23 (нарушение порядка представления обязательного экземпляра документов, письменных уведомлений, уставов и договоров), ст. 19.7 (непредставление сведений (информации)). Уголовная ответственность может наступить в случаях, предусмотренных УК РФ в следующих статьях: ст. 140 - отказ в предоставлении гражданину информации; ст. 237 - сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей; ст. ст. 272 - 274 - ответственность за компьютерные преступления; ст. 287 - отказ в предоставлении информации Федеральному Собранию Российской Федерации или Счетной палате Российской Федерации. К сожалению, практика по применению приведенных выше норм крайне незначительна, что связано как с низким уровнем правосознания в указанных вопросах, так и с отсутствием специального Закона "О праве на доступ к информации".
Название документа