Обзор российского
законодательства в области информационной
безопасности.
Правовые акты общего
назначения, затрагивающие вопросы информационной
безопасности
Основным законом Российской
Федерации является Конституция, принятая
12 декабря 1993 года.
В соответствии со статьей 24
Конституции, органы государственной
власти и органы местного самоуправления,
их должностные лица обязаны обеспечить
каждому возможность ознакомления с документами
и материалами, непосредственно затрагивающими
его права и свободы, если иное не предусмотрено
законом.
Статья 41 гарантирует право
на знание фактов и обстоятельств, создающих
угрозу для жизни и здоровья людей, статья
42 - право на знание достоверной информации
о состоянии окружающей среды.
В принципе, право на информацию
может реализовываться средствами бумажных
технологий, но в современных условиях
наиболее практичным и удобным для граждан
является создание соответствующими законодательными,
исполнительными и судебными органами
информационных серверов и поддержание
доступности и целостности представленных
на них сведений, то есть обеспечение их
(серверов) информационной безопасности.
Статья 23 Конституции гарантирует
право на личную и семейную тайну, на тайну
переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщений, статья
29 - право свободно искать, получать, передавать,
производить и распространять информацию
любым законным способом. Современная
интерпретация этих положений включает
обеспечение конфиденциальности данных,
в том числе в процессе их передачи по
компьютерным сетям, а также доступ к средствам
защиты информации.
В Гражданском кодексе Российской
Федерации (в своем изложении мы опираемся
на редакцию от 15 мая 2001 года) фигурируют
такие понятия, как банковская, коммерческая
и служебная тайна. Согласно статье 139,
информация составляет служебную или
коммерческую тайну в случае, когда информация
имеет действительную или потенциальную
коммерческую ценность в силу неизвестности
ее третьим лицам, к ней нет свободного
доступа на законном основании, и обладатель
информации принимает меры к охране ее
конфиденциальности. Это подразумевает,
как минимум, компетентность в вопросах
ИБ и наличие доступных (и законных) средств
обеспечения конфиденциальности.
Весьма продвинутым в плане
информационной безопасности является
Уголовный кодекс Российской Федерации
(редакция от 14 марта 2002 года). Глава 28 -
"Преступления в сфере компьютерной
информации" - содержит три статьи:
· статья 272. Неправомерный доступ
к компьютерной информации;
· статья 273. Создание, использование
и распространение вредоносных программ
для ЭВМ;
· статья 274. Нарушение правил
эксплуатации ЭВМ, системы ЭВМ или их сети.
Первая имеет дело с посягательствами
на конфиденциальность, вторая - с вредоносным
ПО, третья - с нарушениями доступности
и целостности, повлекшими за собой уничтожение,
блокирование или модификацию охраняемой
законом информации ЭВМ. Включение в сферу
действия УК РФ вопросов доступности информационных
сервисов представляется нам очень своевременным.
Статья 138 УК РФ, защищая конфиденциальность
персональных данных, предусматривает
наказание за нарушение тайны переписки,
телефонных переговоров, почтовых, телеграфных
или иных сообщений. Аналогичную роль
для банковской и коммерческой тайны играет
статья 183 УК РФ.
Интересы государства в плане
обеспечения конфиденциальности информации
нашли наиболее полное выражение в Законе
"О государственной тайне" (с изменениями
и дополнениями от 6 октября 1997 года). В
нем гостайна определена как защищаемые
государством сведения в области его военной,
внешнеполитической, экономической, разведывательной,
контрразведывательной и оперативно-розыскной
деятельности, распространение которых
может нанести ущерб безопасности Российской
Федерации. Там же дается определение
средств защиты информации. Согласно данному
Закону, это технические, криптографические,
программные и другие средства, предназначенные
для защиты сведений, составляющих государственную
тайну; средства, в которых они реализованы,
а также средства контроля эффективности
защиты информации. Подчеркнем важность
последней части определения.
Закон "Об информации,
информационных технологиях и о защите
информации"
Основополагающим среди российских
законов, посвященных вопросам информационной
безопасности, следует считать закон "Об информации,
информационных технологиях и о защите
информации" от 27 июля 2006 г. № 149-ФЗ (принят Государственной
Думой 8 июля 2006 года). В нем даются основные
определения и намечаются направления
развития законодательства в данной области.
В законе содержится 17 статей:
Статья 1. Сфера действия настоящего
Федерального закона
Статья 2. Основные понятия, используемые
в настоящем Федеральном законе
Статья 3. Принципы правового
регулирования отношений в сфере информации,
информационных технологий и защиты информации
Статья 4. Законодательство
Российской Федерации об информации, информационных
технологиях и о защите информации
1. Законодательство Российской
Федерации об информации, информационных
технологиях и о защите информации
основывается на Конституции
Российской Федерации, международных
договорах Российской Федерации
и состоит из настоящего Федерального
закона и других регулирующих
отношения по использованию информации
федеральных законов.
2. Правовое регулирование
отношений, связанных с организацией
и деятельностью средств массовой
информации, осуществляется в соответствии
с законодательством Российской
Федерации о средствах массовой
информации.
3. Порядок хранения и
использования включенной в состав
архивных фондов документированной
информации устанавливается законодательством
об архивном деле в Российской
Федерации.
Статья 5. Информация как объект
правовых отношений
Статья 6. Обладатель информации
Статья 7. Общедоступная информация
Статья 8. Право на доступ к информации
Статья 9. Ограничение доступа
к информации
Статья 10. Распространение информации
или предоставление информации
Статья 11. Документирование
информации
Статья 12. Государственное регулирование
в сфере применения информационных технологий
Статья 13. Информационные системы
Статья 14. Государственные информационные
системы
Статья 15. Использование информационно-телекоммуникационных
сетей
Статья 16. Защита информации
Статья 17. Ответственность за
правонарушения в сфере информации, информационных
технологий и защиты информации
Другие законы и нормативные
акты
Следуя логике Закона "Об
информации, информационных технологиях
и о защите информации", мы продолжим
наш обзор Законом "О лицензировании
отдельных видов деятельности" от 8
августа 2001 года номер 128-ФЗ (Принят Государственной
Думой 13 июля 2001 года). Начнем с основных
определений.
Статья 17 Закона устанавливает
перечень видов деятельности, на осуществление
которых требуются лицензии. Нас будут
интересовать следующие виды:
· распространение шифровальных
(криптографических) средств;
· техническое обслуживание
шифровальных (криптографических) средств;
· предоставление услуг в области
шифрования информации;
· разработка и производство
шифровальных (криптографических) средств,
защищенных с использованием шифровальных
(криптографических) средств информационных
систем, телекоммуникационных систем;
· выдача сертификатов ключей
электронных цифровых подписей, регистрация
владельцев электронных цифровых подписей,
оказание услуг, связанных с использованием
электронных цифровых подписей и подтверждением
подлинности электронных цифровых подписей;
· выявление электронных устройств,
предназначенных для негласного получения
информации, в помещениях и технических
средствах (за исключением случая, если
указанная деятельность осуществляется
для обеспечения собственных нужд юридического
лица или индивидуального предпринимателя);
· разработка и (или) производство
средств защиты конфиденциальной информации;
· техническая защита конфиденциальной
информации;
· разработка, производство,
реализация и приобретение в целях продажи
специальных технических средств, предназначенных
для негласного получения информации,
индивидуальными предпринимателями и
юридическими лицами, осуществляющими
предпринимательскую деятельность.
Необходимо учитывать, что,
согласно статье 1, действие данного Закона
не распространяется на следующие виды
деятельности:
· деятельность, связанная с
защитой государственной тайны;
· деятельность в области связи;
· образовательная деятельность.
Основными лицензирующими органами
в области защиты информации являются
Федеральное агентство правительственной
связи и информации (ФАПСИ) и Гостехкомиссия
России. ФАПСИ ведает всем, что связано
с криптографией, Гостехкомиссия лицензирует
деятельность по защите конфиденциальной
информации. Эти же организации возглавляют
работы по сертификации средств соответствующей
направленности. Кроме того, ввоз и вывоз
средств криптографической защиты информации
(шифровальной техники) и нормативно-технической
документации к ней может осуществляться
исключительно на основании лицензии
Министерства внешних экономических связей
Российской Федерации, выдаваемой на основании
решения ФАПСИ. Все эти вопросы регламентированы
соответствующими указами Президента
и постановлениями Правительства РФ, которые
мы здесь перечислять не будем.
10 января 2002 года Президентом
был подписан очень важный
закон "Об электронной цифровой
подписи" номер 1-ФЗ (принят Государственной
Думой 13 декабря 2001 года). Его роль
поясняется в статье 1.
1. Целью настоящего Федерального
закона является обеспечение правовых
условий использования электронной цифровой
подписи в электронных документах, при
соблюдении которых электронная цифровая
подпись в электронном документе признается
равнозначной собственноручной подписи
в документе на бумажном носителе.
2. Действие настоящего Федерального
закона распространяется на отношения,
возникающие при совершении гражданско-правовых
сделок и в других предусмотренных законодательством
Российской Федерации случаях. Действие
настоящего Федерального закона не распространяется
на отношения, возникающие при использовании
иных аналогов собственноручной подписи.
Согласно Закону, электронная
цифровая подпись в электронном документе
равнозначна собственноручной подписи
в документе на бумажном носителе при
одновременном соблюдении следующих условий:
· сертификат ключа подписи,
относящийся к этой электронной цифровой
подписи, не утратил силу (действует) на
момент проверки или на момент подписания
электронного документа при наличии доказательств,
определяющих момент подписания;
· подтверждена подлинность
электронной цифровой подписи в электронном
документе;
· электронная цифровая подпись
используется в соответствии со сведениями,
указанными в сертификате ключа подписи.
Закон определяет сведения,
которые должен содержать сертификат
ключа подписи:
· уникальный регистрационный
номер сертификата ключа подписи, даты
начала и окончания срока действия сертификата
ключа подписи, находящегося в реестре
удостоверяющего центра;
· фамилия, имя и отчество владельца
сертификата ключа подписи или псевдоним
владельца. В случае использования псевдонима
запись об этом вносится удостоверяющим
центром в сертификат ключа подписи;
· открытый ключ электронной
цифровой подписи;
· наименование средств электронной
цифровой подписи, с которыми используется
данный открытый ключ электронной цифровой
подписи;
· наименование и местонахождение
удостоверяющего центра, выдавшего сертификат
ключа подписи;
· сведения об отношениях, при
осуществлении которых электронный документ
с электронной цифровой подписью будет
иметь юридическое значение.
Связь экономики с безопасностью
жизнедеятельности
В связи с ухудшением техногенной обстановки
в России можно ожидать, что во многих
случаях отдельные, даже небольшие по
своим масштабам производственные аварии
и стихийные бедствия станут одной цепью,
будут провоцировать и усиливать друг
друга, а также вызывать системные эффекты,
не поддающиеся локализации и имеющие
огромные прямые и косвенные последствия,
проявляющиеся на макроэкономическом
уровне. Подобные чрезвычайные ситуации
в той или иной мере оказывают влияние
практически на все сферы существования
человеческого общества и прежде всего
на жизнедеятельность людей, а также и
природную среду. Ущерб от чрезвычайных
ситуаций носит разнообразный характер.
Для его измерения используются различные
показатели, среди которых ведущую роль
играют экономические показатели и методы
определения ущерба от чрезвычайных ситуаций.
Большое внимание в настоящее время уделяется
экономическому обеспечению мероприятий
по предупреждению и ликвидации последствий
чрезвычайных ситуаций как основному
элементу обеспечения безопасности населения,
объектов экономики и территорий в очагах
поражения. Знание возможных экономических
последствий (в денежных единицах) воздействия
чрезвычайных ситуаций способствует правильному
формированию и своевременному осуществлению
экономических механизмов защиты объектов
экономики, населения и территорий от
их последствий, что позволяет значительно
снизить социально-экономический ущерб
и эффективно использовать ограниченные
финансовые и материально-технические
ресурсы для повышения уровня безопасности.