Правовые аспекты информационной безопастности.
Правовые аспекты информационной безопастности
Задачи построения гражданского общества в России как общества информационного, возрастание роли информации, информационных ресурсов и технологий в развитии граждан, общества и государства в XXI веке выводят вопросы информационной безопасности на первый план в системе обеспечения национальной безопасности. Этой проблеме посвящена настоящая статья
Соотнося определение информационной безопасности, данное в Федеральном законе «Об участии в международном информационном обмене» (ст. 2), с понятием «безопасность», данном в Законе Российской Федерации «О безопасности» (ст. 1), под информационной безопасностью предлагается понимать «состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз».
Исходя из анализа Программы действий на 1996—2000 гг., ежегодных Посланий Президента Федеральному анию Российской Федерации (1994—1998 гг.) и Концепции национальной безопасности РФ, утвержденной Указом Президента Российской Федерации № 1300 от 17.12.97 г., определены основные задачи и принципы государственной политики по обеспечению информационной безопасности.
Задачи обеспечения защиты информации
К основным задачам в сфере обеспечения информационной безопасности, определяемых государством, можно отнести следующие:
• формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере;
• совершенствование законодательства РФ в сфере обеспечения информационной безопасности;
•координация деятельности органов государственной власти по обеспечению безопасности в информационной среде;
•установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;
• совершенствование информационной структуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;
•развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
• защита государственных информационных ресурсов и, прежде всего, в федеральных органах государственной власти, на предприятиях оборонного комплекса;
• духовное возрождение России;
• обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);
• сохранение традиционных духовных ценностей при содействии Русской православной церкви и церквей других конфессий;
• пропаганда через СМИ национальных культур народов России, духовно-нравственных, исторических традиций и норм общественной жизни и передового опыта этой деятельности;
• повышение роли русского языка как государственного и межгосударственного средств общения народов России и государств — участников СНГ;
• создание оптимальных экономических условий для осуществления важнейших видов творческой деятельности.
Государственная политика по реализации заявленных задач строится на основе следующих принципов:
• законность (соблюдение норм международного права, Конституции и законодательства РФ при осуществлении деятельности по обеспечению информационной безопасности);
• сбалансированность (соблюдение баланса интересов субъектов правоотношений, их взаимная ответственность);
• реальность выдвигаемых задач (с учетом имеющихся ресурсов, сил и средств);
• сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов РФ и органам местного самоуправления;
• интеграция с международными системами обеспечения информационной безопасности.
Структура и пути развития законодательства
Исходя из предложенного понимания информационной безопасности, государственная политика в Российской Федерации по ее обеспечению реализуется через правотворчество, правоприменение и участие государства в развитии правосознания и правовой культуры граждан. При этом на современном этапе определяющим является правотворчество — развитие законодательства.
Сегодня следует признать отсутствие единого правового поля, когда заявленный в Конституции РФ приоритет интересов личности подменяется в законах приоритетом интересов ведомств, нормы федеральных законов противоречат Конституции, законодательство субъектов Федерации не соответствует федеральному, а подзаконные акты по-прежнему являются основой для произвола чиновников.
В соответствии с Конституцией РФ (п. «и» ст. 71) информация и связь отнесены к ведению Российской Федерации, значит, ответственность за нормотворчество и его результаты в законодательстве и практике правоприменения по этим вопросам лежит, прежде всего, на федеральных органах государственной власти.
Очевидно, что продолжение прежней практики законотворчества без единой концепции законодательства в информационной сфере, в том числе в области реализации конституционных прав граждан, делает трудновыполнимой задачу построения правового государства и информационного общества в России.
Законодательство в информационной сфере включает в себя: законодательство об интеллектуальной собственности, законодательство о СМИ, законодательство о связи и телекоммуникациях, законодательство в области обеспечения информационной безопасности.
Законодательство в области обеспечения информационной безопасности — это совокупность правовых норм, регулирующих общественные отношения по защите жизненно важных интересов личности, общества и государства от угроз в информационной сфере.
Эти правовые нормы выделены как в специальные нормативные правовые акты по вопросам обеспечения информационной безопасности, так и находятся в составе других нормативных актов; содержатся как в федеральном законодательстве, так и могут быть в законодательстве субъектов РФ (в части исполнения федерального законодательства в соответствии с переданными полномочиями от федеральных органов государственной власти); оформляются как федеральными конституционными и федеральными законами (прежде всего в части установления запретов и ограничений на реализацию основных прав и свобод в информационной сфере), так и подзаконными актами.
При формировании законодательства в информационной сфере в самостоятельную отрасль российского права — информационное право — формирующее законодательство в области обеспечения информационной безопасности будет подотраслью информационного права, а при его кодификации, в случае принятия Информационного кодекса РФ, станет его составной частью.
В настоящее время в подкомитете по информационной безопасности Государственной думы РФ заканчивается работа над концепцией развития законодательства в области обеспечения информационной безопасности. Основные предложения автора по этому вопросу были одобрены ранее на заседании МВК Совета Безопасности Российской Федерации по защите информации.
Объекты защиты
Для более четкого определения предметной области законодательства и построения целостной системы в области обеспечения информационной безопасности предлагается в качестве основных обозначить три объекта защиты:
1 ) защита прав личности и интересов общества в информационной сфере;
2) защита информации;
3) защита информационных систем.
В первом случае следует выделить 4 основных элемента: создание условий для реализации гражданином своего права на доступ к информации; защита права гражданина на неприкосновенность своей частной жизни (свобода одних определяется степенью свободы других); защита здоровья человека, его психики и общества от вредной информации, в том числе распространяемой по компьютерным сетям или с использованием компьютерных технологий (примером этого может служить недавнее происшествие в Японии, когда 700 человек, посмотрев компьютерную анимацию, попали в больницу с симптомами эпилепсии), и, наконец, защита прав на результаты интеллектуальной деятельности, прежде всего, в интересах государства. Наше законодательство должно строиться, ориентируясь на достижение и поддержание баланса прав и интересов граждан, общества и государства. Отсюда законопроекты, стоящие в плане работы: «О праве на информацию» (принят Государственной Думой в первом чтении); «О персональных данных»; «Об информационнопсихологической безопасности»; «О реализации прав государства на объекты интеллектуальной собственности»; «О внесении изменений и дополнений в кодексы РФ».
Во втором случае речь должна идти о защите информации с ограниченным доступом.
Президент России в своем Послании к Федеральному анию от 16 февраля 1998 года записал в качестве основной задачи властей сокращение области ведомственных тайн. Государству нужно в законодательном порядке установить запреты и определить степень своего участия в защите этой информации с ограниченным доступом. По-видимому, должно быть стопроцентное участие в сфере защиты государственной и служебной тайны, и частичное — в обеспечении защиты другой конфиденциальной информации (коммерческой, банковской, профессиональной, в соблюдении гарантии неприкосновенности персональных данных). Степень участия определяется принимаемыми законами, правовыми запретами, установленными нормами ответственности за нарушение этих запретов. Все, что не запрещено законом, должно быть разрешено.
Сейчас ситуация такова: государство говорит — защищайте сами свою информацию, но спрашивайте каждый раз разрешение у государства.
В таком подвешенном состоянии ни один уважающий себя собственник не решится на серьезные инвестиции в развитие средств защиты своей конфиденциальной информации, за которую отвечает он и только он, потому что, во-первых, при отсутствии законодательных ограничений чиновник в любой момент может поменять правила, вовторых, в случае применения шифрования государство, имея у себя на хранении дубликат ключа в лице того же самого чиновника, может посмотреть, что же происходит у владельца информации и воспользоваться ею без ведома хозяина. Такое положение заставляет пользователей средств защиты по мере сил протестовать, в надежде, что власти услышат их доводы.
В настоящее время существует более 30 видов тайн. Понятия их зачастую не определены, соотношения между ними тоже, ответственность за нарушение режима того или иного вида тайн далеко не всегда присутствует в Уголовном кодексе или Кодексе об административных правонарушениях. Тем не менее, государство требует их соблюдения. Поэтому предлагаем свести 32 вида тайн к пяти основным, по каждому из них принять закон, установить запреты и степень участия государства в защите информации с ограниченным доступом.
Отсюда пакет законов: «О государственной тайне» (действует в редакции 1997 г.), «О коммерческой тайне» (принят в первом чтении), «О банковской тайне» (проект), « О профессиональной тайне» (план), «О служебной тайне» (план). Наряду с этим предлагается специальную главу из действующего Федерального закона «Об информации, информатизации и защите информации» исключить с одновременным принятием специального закона «О защите конфиденциальной информации» и закона «О противодействии иностранным техническим разведкам».
Наконец, в третьем случае надо определить, какие информационные системы требуется защищать и как это лучше делать с участием государства в необходимых случаях.
Приведу пример. В Конституции РФ есть статья (п. 2 ст. 23) о том, что государство гарантирует каждому гражданину России тайну телефонных переговоров, почтовых, телеграфных и иных сообщений. Возникает вопрос: кто в лице государства гарантирует тайну телефонных переговоров? Из разговоров с руководством Госкомсвязи России выясняется, что данная структура за это не отвечает, потому что телефонная сеть — это открытая система. Но закрытые системы это ведомство тоже не курирует, поскольку за правительственную связь несет ответственность ФАПСИ. В свою очередь, ФАПСИ не отвечает за открытые системы. Тогда кто в государстве гарантирует гражданину право на тайну телефонных переговоров? Получается, что никто!
Следует ли из этого вывод о необходимости шифровать все телефонные сети? Конечно, нет. Надо искать другие способы и средства защиты этой информации.
Безусловно, государство должно взять на себя защиту информационных систем высших органов власти, государственного управления, систем управления боевым оружием, систем, обеспечивающих банковскую и финансовую стабильность. Но оно должно нести за это и полную ответственность.
Проблемы защиты информации в открытых системах
В области открытых систем, в том числе и Internet, государству также надлежит определить свою роль в их защите. Высшие органы государственной власти несколько раз пытались определить свое отношение к открытым системам, в том числе к Internet. В конце 1996 года прошли парламентские слушания под названием «Россия и Internet: выбор будущего». Безусловно, мы сказали «да» Internet в России, но при этом перечислили проблемы, которые нельзя оставлять без внимания. Недавно было заседание группы в Правительстве РФ, где обсуждался проект постановления «О государственном регулировании сети Internet в России». К чести участников группы они ушли от первоначального варианта названия, выбрав другое — «О роли государства в развитии сети Internet в России». . Есть аналогичные решения или их проекты в других государственных структурах. Сегодня отношение государства к Internet в целом положительное.
За рубежом широко практикуется размещение в Internet законов и законопроектов. В Италии даже судебные решения стали обнародовать через Internet. В США, во Флориде голосование на выборах осенью 1998 г. должно пройти с помощью Internet. В Японии активно развивается электронная торговля, электронные биржи. В Государственной Думе РФ, вслед за другими органами власти, открыт общедоступный сервер в этой сети. Говорить «нет» новым возможностям, которые открывают перед нами компьютерные сети, это значит говорить «Нет» XXI веку, так как будущий век — это век информационных технологий.
В то же время мы не должны закрывать глаза на проблемы, которые несет с собой этот век. Сегодня США, являясь родиной Internet, осознало степень опасности, которую несет для страны, наряду с прогрессом, развитие компьютерных сетей, прежде всего со стороны хакеров, как частных лиц, так и «государственных».
Мы должны сегодня понимать, что так просто никто не будет выделять колоссальные деньги на планирование информационных войн, на разработку информационного оружия (в некоторых странах эти суммы превышают бюджеты развития ракетно-ядерных технологий и космических программ). Означает ли это, что мы должны прекратить дальнейшее развитие открытых систем? Безусловно, нет. Но государство должно принять меры по минимизации последствий от такого рода опасностей.
Internet как средство распространения информационного оружия
Многие преступления, совершенные с применением сети Internet, очень схожи с обычными, такими как распространение конфиденциальной информации без согласия ее владельца, клевета, взлом компьютерных сетей, кража информации, пиратство, мошенничество и т.п. Вместе с тем, Internet порождает и некоторые специфические проблемы, которых нет в других компьютерных сетях, действующих на территории одного государства.
Первая проблема связана с тем, что киберпространство не признает национальных законов и государственных границ. Законы, действующие в одном государстве в отношении компьютерных преступлений, достаточно трудно реализовать на территории другой страны, если в ее законодательстве нет аналогичных норм. Нужна унификация законодательства. Вот почему на территории СНГ предусмотрена концепция развития национального законодательства через модельные законы.
Вторая проблема: сети международного информационного обмена, в том числе и Internet, резко расширяют возможности использования информационного оружия, которое по своей результативности сопоставимо с оружием массового поражения. Спектр действия такого оружия может простираться от нанесения вреда психическому здоровью людей до внесения вирусов в компьютерные сети и уничтожения информации. Сегодня в директивах Министерства обороны США подробно излагается порядок подготовки к таким информационным войнам, уже третий год выпускаются подразделения кибервоинов. Это уже не фантастика, а реалии наших дней. Что можно сделать в этой области? Добиться полного запрещения информационного оружия вряд ли удастся. Но ввести ограничения на производство и оборот этого оружия, международный запрет на ведение информационных войн можно и нужно.
В 1997 г. автор выступил с инициативой, которая была поддержана парламентскими комитетами Государственнй думы РФ, а в декабре 1997 года превратилась в политическую инициативу парламентов государств СНГ. Лидеры парламентов наших стран приняли обращение в ООН с предложением включить в повестку дня Генеральной ассамблеи вопрос о подготовке и заключении международной конвенции «О предотвращении информационных войн и ограничении оборота информационного оружия». 30 марта 1998 г. на встрече с Генеральным секретарем ООН Кофи Ананном в российском парламенте автор попросил его использовать свой личный авторитет, чтобы этот вопрос попал в повестку дня Генеральной ассамблеи ООН. Эту конвенцию необходимо подготовить и принять, чтобы мы не тратили средства, необходимые для развития наших телекоммуникаций и информационных систем, сначала на разработку информационного оружия, затем на защиту от него, а йотом на его уничтожение, как это было ранее с ядерным, химическим и бактериологическим оружием в XX столетии. Требует изменений в этой части и закон «О международном информационном обмене».
Наконец, необходимо установить правила и нормы взаимоотношений государства с информационными институтами гражданского общества. Но для этого данное информационное общество должно само сорганизоваться, структурироваться, выработать собственный кодекс чести (как клятва Гиппократа у врачей или журналистская этика) и механизмы его обеспечения и предложить государству некие правила, не дожидаясь, пока власть выработает свои. Среди них должно быть обязательное широкое участие общественности в подготовке и обсуждении законопроектов с тем, чтобы государственное нормотворчество стало действительно безопасным для общества и граждан, а власть была максимально ограничена правом. Только в случае успешного развития негосударственного компонента можно рассчитывать на успешное решение всех задач в сфере обеспечения информационной безопасности.