Мудрый Юрист

Правовое обеспечение информационной безопасности

Гришина Вера Викторовна, ассистент кафедры гражданского права и процесса Тамбовского государственного технического университета.

В настоящее время отдельные авторы констатируют отсутствие должного внимания к вопросу информационной безопасности в законопроектной работе <1>. Проанализируем основные сложившиеся в теории и законодательстве подходы к решению вопроса информационной безопасности в России. Исследуя юридическую литературу и нормативные источники, мы установили, что в отношении информационной безопасности используется несколько ключевых понятий, на содержании которых необходимо остановиться <2>. Прежде всего это термины "информационная безопасность", "безопасность информации", "защита информации". Все три термина несут самостоятельную смысловую нагрузку, употребляются в нормативных правовых актах, но не все получили юридическое определение. Этимологическая связь понятий безопасности и защиты очевидна. Это нашло отражение и в доктрине, и в законодательстве. Статья 1 Закона РФ от 05.03.1992 N 2446-1 (ред. от 02.03.2007) "О безопасности" определяет безопасность как состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз <3>. Закрепленное в период его действия в Федеральном законе от 04.07.1996 N 85-ФЗ "Об участии в международном информационном обмене" определение информационной безопасности раскрывается как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан (ст. 2 Закона). Оба определения фактически предполагают наличие систем защиты, которые и гарантируют безопасность. Но определение информационной безопасности имеет два существенных недостатка. Во-первых, оно не отсылает нас к понятию "угроза", хотя эффективная защита требует обязательного соотнесения с существующими и предполагаемыми угрозами. Во-вторых, объектом защиты называется информационная сфера, то есть некая область отношений, тогда как, очевидно, защищаться должны права и интересы субъектов отношений в той или иной сфере.

<1> Лукацкий А. Осенний отзыв Госдумы: информационная безопасность никому не нужна // http://www.svobodainfo.org/info/page?tid=633200007&nd=458206511.
<2> Нестеров А.В. Закон принят. Проблемы остались // Информационное право. 2006. N 4; Семилетов С.И. Анализ действующего законодательства РФ, регулирующего отношения, связанные с использованием государственной автоматизированной системы РФ "Выборы" при реализации гражданами РФ конституционного права на участие в выборах и референдумах: основные противоречия, пробелы и проблемы // Право и политика. 2006. N 2; Конференции по проблемам информационного права // Информационное право. 2006. N 1; Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство. СПб., 2000; Лопатин В.Н. Теоретико-правовые проблемы защиты единого информационного пространства и их отражение в системах российского права и законодательства // http:/for-expert.ru/problemy_inform_prava/15.shtml.
<3> Российская газета. 1992. N 103.

Более адекватно понятие информационной безопасности раскрыто в Доктрине информационной безопасности РФ. Здесь это состояние защищенности национальных интересов РФ в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства. Доктрина определяет, что относится к интересам личности, общества и государства. Кроме того, в этом документе названы все виды основных информационных угроз и их источники. Таким образом, внимание акцентируется не на защите данных, сведений, информации, а законных правах и интересах субъектов. При этом состояние защищенности предполагает выработку оптимального режима регулирования для сохранения баланса частных и публичных интересов.

Исходя из сказанного, защита информации, очевидно, может рассматриваться только как один из способов защиты прав и интересов субъектов в информационной сфере. Уместным будет применение двух относительно самостоятельных категорий: "охрана" и "защита". Охрана информации - это установление ее общего правового режима, а защита - те меры, которые предпринимаются в случаях, когда субъективные права на информацию нарушены. Очевидно, все эти меры применимы только тогда, когда речь идет о закрытой информации. Но в законодательстве, что легко установить, термин "защита информации" употребляется в ином смысле, а именно как предотвращение утечки информации техническими и иными законными средствами. Это происходит не случайно, а в силу закрепления такого значения в ГОСТе 50922-96. "Защита информации". Соответственно, это деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получение защищаемой информации разведками, а также несанкционированных и непреднамеренных воздействий на защищаемую информацию.

В литературе, как и в законодательстве, употребляется не только термин "защита информации", но и "безопасность информации". А.В. Нестеров указывает, что нельзя трактовать "безопасность информации" только как ее защищенность (защиту). Он предлагает понимать этот термин как защищенные условия существования данных на всех этапах их жизненного цикла <4>. И.Л. Бачило отмечает, что безопасность информации шире, чем защита, и связана с установлением определенных общих правил относительно информации как предмета общественных отношений <5>.

<4> Нестеров А.В. Философия защиты информации // Научно-техническая информация. Серия 1. Организация и методика информационной работы. 2004. N 3. С. 2.
<5> Бачило И.Л. Подходы к обеспечению защиты и безопасности информации // Информационное право: основы правовой информации. М., 2003. С. 253 - 272.

Между тем этот термин имеет легальное определение. Под безопасностью информации (в данном случае речь идет об информации в государственной автоматической системе "Выборы") понимается состояние защищенности информации, находящейся в системе, от несанкционированного доступа к ней, а также от нарушения функционирования программно-технических средств сбора, обработки, накопления, хранения, поиска и передачи информации или от вывода указанных средств из строя, обеспеченное совокупностью мер и средств защиты информации (п. 3 ст. 2 Федерального закона от 10.01.2003 N 20-ФЗ "О государственной автоматизированной системе Российской Федерации "Выборы") <6>. В результате мы должны заключить, что безопасность - это состояние информации в системе, а защита - деятельность, обеспечивающая данное состояние (защищенности). При осуществлении информационной деятельности защищенность информации, особенно в публично-правовых отношениях, является ключевым моментом. В значительной мере от степени защищенности зависит функциональность любой информационной системы, качество формируемого ресурса и даже вероятность фиксирования информации. Ведь блокировать движение информации можно еще на стадии документирования, когда определенные сведения намеренно не фиксируются, следовательно, не включаются в информационный ресурс. Не фиксируя сведения, субъект исключает определенную информацию из легального обращения. В результате снижается степень достоверности информации в системе в целом, поскольку любые данные ложатся в основу создания многих видов производной информации.

<6> Собрание законодательства РФ. 2003. N 2. Ст. 172.

Одним из аспектов обеспечения информационной безопасности как составной части безопасности в целом является защита интересов человека от вредного и непредсказуемого влияния со стороны им же созданной технико-технологической субстанции. Это вызывает необходимость рассматривать интересы личности, общества и государства с комплексных позиций защиты от побочных (диссонансных) факторов влияния технологических и организационных систем. Информационная безопасность как одна из систем ограничения диссонансных процессов в обществе призвана не только сдерживать их отрицательное влияние на человека, но и поддерживать в стабильном состоянии общество и государство. В свою очередь государство и его общественные институты призваны обеспечить это сдерживание.

В отдельных работах информационная ситуация в стране описывается как неблагоприятная и даже катастрофическая <7>. При этом, например, А.В. Люксембург и В.С. Симкин указывают на то, что "коммуникативная среда обитания, предназначенная для межличностного общения... нормативно не обеспечена". А М.М. Китайчик заявляет о необходимости нормативного закрепления права на защиту от информации, в частности и прежде всего от информации, травмирующей психику, и информации на "языке вражды". В целом такие заявления представляются не вполне научными и конструктивными, но они тем не менее отражают наличие в обществе проблемы, названной выше: диссонансных факторов влияния технологических и организационных систем.

<7> Китайчик М.М. Право на защиту от информации // Конституционное и муниципальное право. 2007. N 3; Люксембург А.В., Симкин В.С. Эволюционная катастрофа в России, или возможное исчезновение вида хомо сапиенс // Юридическое образование и наука. 2007. N 1.

Информационный аспект управления системой имеет чрезвычайное значение с точки зрения изучения действительного, а не мнимого состояния системы. Осведомительный вид информации о состоянии системы и среды должен быть в определенных форматах, индексах, в которых сфокусированы количественные показатели о работе структурных элементов. В этом случае точность измерения состояния системы будет наибольшей, а возможность манипулирования (в значении злоупотребления) информацией сведена к минимуму. Это особенно актуально для социальных систем, где дезинформация о работе систем может выглядеть правдоподобно, однако искривленное отражение нередко только углубляет кризисные явления. В практике борьбы с преступностью существовали целые исторические периоды, когда показатели не отражали истинную картину о действительном состоянии правонарушений. Как правило, такие периоды завершались очередными структурными переменами в правоохранительной сфере <8>. Одним словом, обобщенные, наиболее индексированные показатели о состоянии системы дают наилучшую картину ее состояния. Это обстоятельство необходимо учитывать при организации управленческих процессов правового обеспечения информационной безопасности. Когда система только формируется, сделать процесс информирования более адекватным значительно легче, чем тогда, когда система управления уже будет создана.

<8> Кудрявцев В.Н. Уголовная юстиция как система // Правовая кибернетика. М., 1973. С. 7 - 21.

С другой стороны, правовое регулирование информационной безопасности предполагает создание мощных аналитических структур. Дезинформирование, как и другие способы уменьшения информационной проницаемости среды, должно своевременно анализироваться. Уменьшение проницаемости среды может быть результатом воздействия на нее, сопротивления среды. Проблемы объективности и субъективности представляемой информации подробно анализируются А.В. Нестеровым в работе "Философия защиты информации" <9>. Но рассматривая разные аспекты защиты, автор ограничивается, по существу, обзором ситуаций. На наш взгляд, исходя из уровня современной аналитики, информационные системы, в том числе автоматические, должны включать в себя индикаторы достоверности информации. Учитывая риск утраты обратной связи в системе или ее дефективности, анализ реакции среды должен позволять быстро устранять неконструктивные способы и средства воздействия. Сложность состоит в том, что в рассматриваемом случае реакцией среды является увеличение информационной непроницаемости, при этом среда может имитировать достоверность информации. Индикатором достоверности, таким образом, должен выступать информационно-аналитический механизм, действующий в точках сбора информации. Такими точками сбора, например, являются моменты представления информации для фиксирования (документирования) и включения ее в тот или иной информационный ресурс.

<9> Нестеров А.В. Философия защиты информации // Научно-техническая информация. Серия 1. Организация и методика информационной работы. 2004. N 3. С. 1 - 9.

Информационная безопасность обязательно связана с обеспечением, во-первых, доступности информации, а во-вторых, ее приватности. В сфере законодательного регулирования работы с информацией и информационными ресурсами ограниченного доступа, как считают специалисты, только интересы государства в определенной степени защищены Законом РФ "О государственной тайне". Интересы личности и институциональных структур общества лишь обозначены в отдельных нормативных актах, тогда как необходимо реализовать закрепление механизмов их защиты в специальных нормативных актах <10>.

<10> Нисневич Ю.А. Информация как объект публичного права // Научно-техническая информация. Серия 1. Организация и методика информационной работы. 2000. N 4. С. 14.

В этом плане показательным является подход, отраженный в Классификаторе правовых актов (далее - Классификатор), утвержденном Указом Президента РФ от 15.03.2000 N 511 (ред. от 28.06.2005), где информационная безопасность выделена в отрасли информации и информатизации (120.070.000) и в отрасли безопасности и охраны правопорядка (160.040.030) <11>. На основании этого можно сделать вывод о том, что законодательство в области обеспечения информационной безопасности в силу своей специфики отнесено как к законодательству о безопасности, так и к законодательству об информации и информатизации и может объединять нормы, содержащиеся в нормативных актах других отраслей законодательства, в том числе относящиеся к конституционному строю - защита прав и свобод человека и гражданина (010.060.000), в гражданском праве - служебная и коммерческая тайна (030.130.060) и др.

<11> Собрание законодательства РФ. 2000. N 12. Ст. 1260.

В то же время в новом Классификаторе, на наш взгляд, сохранен ряд ошибок прежнего, утратившего силу, Общеправового классификатора отраслей законодательства (утвержденного Указом Президента РФ от 16.12.1993 N 2171) <12> и допущены новые серьезные неточности. Так, если в первом варианте Классификатора (120.070.000) информационная безопасность упоминается в одном ряду с персональными данными и информационными ресурсами в разделе "информация по категории доступа", то во втором случае (160.040.030) она отнесена только к безопасности общества, тогда как к безопасности государства отнесена государственная тайна, являющаяся объектом защиты в системе информационной безопасности, а безопасность личности по данному Классификатору вообще оказалась за рамками информационной безопасности, что не соответствует Концепции национальной безопасности и Доктрине информационной безопасности РФ.

<12> Собрание законодательства РФ. 1997. N 1. Ст. 119.

Подводя итоги сказанному, считаем необходимым отметить, что институт информационной безопасности в России нуждается прежде всего в решении концептуальных проблем создания системы защиты прав и интересов государства, общества, личности. Отсутствие действенной концепции вызвало остановку развития законодательства, должного урегулировать комплекс соответствующих проблем, на уровне недопустимо низком. Вопреки системным свойствам информационная безопасность в России регулируется фрагментарно.

И здесь мы обращаемся к аспекту регулирования информационной деятельности. На наш взгляд, ключевым элементом в системе информационной безопасности является информационный ресурс. Функционирование системы национальных информационных ресурсов становится одной из основ государственной безопасности России. Национальные информационные ресурсы являются продуктом информационной деятельности. Поскольку деятельность - это процесс, направленный на результат, ее эффективность измерима. Правда, только в том случае, если законодательство закрепляет адекватное определение информационного ресурса. Стандартизация информационных ресурсов требует выявления всех их разновидностей. Каждый конкретный вид ресурса определяет требования к документированию и инфраструктуре ресурса, т.е. условиям хранения и передачи. Создание инфраструктуры отчасти является деятельностью по формированию ресурса, но отчасти это деятельность по созданию каналов циркуляции информации. Информационные каналы имеют субъективное и объективное выражение, поскольку каналом может быть и субъект деятельности, и ее объект, например канал связи. Создание каналов передачи информации, таким образом, - результат и технической деятельности, и нормирования, регламентации.

При формировании информационного ресурса мы имеем три поддающихся измерению и стандартизации составляющих: документ, информационный ресурс, канал связи ресурса с другими ресурсами в пределах системы. При этом совместимость систем или подсистем является одним из необходимых параметров информационной безопасности. Поскольку совместимость систем изначально исследовалась в рамках компьютерно-информационной сферы, в основном принято говорить о технической совместимости. Под технической совместимостью систем обычно понимается совместимость средств и методов, включающих аппаратуру, информацию (приложения, данные), операционные среды. Но помимо технической совместимости необходима предметная (семантическая) и правовая совместимость <13>. Совместимость подсистем в системе национальных информационных ресурсов обеспечивает реализацию принципа доступности информации в той степени, в которой она создает условия проходимости и проницаемости среды.

<13> Нестеров А.В. Философия и принципы открытых систем // Научно-техническая информация. Серия 1. Организация и методика информационной работы. 2005. N 8. С. 2.

Функциональная система информационных ресурсов является необходимым для управленческой деятельности ресурсом. Это справедливо и в отношении правового регулирования. Эффективность управления и правового регулирования определяется такими параметрами, как:

Эти параметры определяют качество принимаемых управленческих и правовых решений. Качество информационного ресурса, определяемое как качеством информации, так и качеством инфраструктуры ресурса, предотвращает информационную угрозу оказаться вне международного информационного обмена. Включение в трансграничный обмен связано, с одной стороны, с наличием представляющей обменную ценность информации, но с другой стороны, с гарантией защищенности передаваемой в российскую ресурсную систему информации. Предотвращение угрозы оказаться на периферии мирового информационного сообщества напрямую связано с наличием в стране нормативной базы, регулирующей все аспекты информационной безопасности.

Безопасность - это продукт власти. Как продукт информационная безопасность имеет качества, поддающиеся измерению и управлению. Так, на наш взгляд, наиболее точным способом измерения информационной безопасности является жестко регламентированная информационная деятельность публично-правового характера. К такой деятельности мы относим документирование и формирование информационного ресурса. Главным результатом информационной деятельности публично-правового характера является функциональная система национальных информационных ресурсов. Свойства этой системы обеспечивают информационную безопасность страны. К таким ключевым для безопасности свойствам мы отнесли:

Возможно, приведенный нами перечень не отличается полнотой. Главная цель, которую мы преследовали, анализируя названные свойства, - это выявление жесткой зависимости качества системы информационной безопасности от качества системы национальных информационных ресурсов. Информационная безопасность страны останется на низком уровне до тех пор, пока не будет действовать система национальных ресурсов. Целое (система информационных ресурсов) предшествует совокупности элементов. Но информационная деятельность, мы полагаем, должна стать тем элементом, который необходим для того, чтобы совокупность элементов в информационной сфере приобрела свойства системы. Данный объект обладает интегративным свойством делать целостность определенной.