В современной реальности, к глубокому сожалению, фраза «История человечества — история войн» не только стала расхожей, но и не теряет своей кровавой актуальности.
Современные войны становятся все более высокотехнологичными и охватывают все сферы — суши, воды, воздушно — космического пространства. Наряду с видимыми процессами революционного изменения средств вооруженной борьбы и создания оружия на новых физических принципах, все шире происходит проникновение процессов глобального противоборства в кибернетическое пространство. Наглядным примером попыток достижения военно-политических целей без применения традиционных средств вооруженной борьбы стала компьютерная атака на ядерные объекты Исламской Республики Иран, в частности, на завод по обогащению урана в Натанзе и АЭС «Бушер». [1]
Не без причины проблемы информационной безопасности находятся в центре внимания высшего руководства государства.
Так, в своем Послании Федеральному Собранию 1 декабря 2016 года Президент Российской Федерации В. В. Путин отметил: «…Необходимо укреплять защиту от киберугроз, должна быть значительно повышена устойчивость всех элементов инфраструктуры, финансовой системы, государственного управления». [2] Не стал исключением и 2017 год в плане проявления новых угроз в кибернетическом пространстве, так 12 мая 2017 года по всему миру произошло массовое заражение компьютеров сетевым вирусом — вымогателем, известным как WannaCry. В России от вируса пострадали не только личные компьютеры пользователей, но и компьютеры таких крупнейших организаций, как «Сбербанк», «Мегафон», АО РЖД, а также отдельные федеральные органы исполнительной власти — МЧС, МВД, Минздрав. Миллионы файлов и данных оказались зашифрованы, базы данных недоступны. Несмотря на то, что довольно скоро появилась информация, что вирус локализован, и утечка служебной информации исключена, вопрос организации информационной безопасности в органах государственной власти, и способности отечественных информационных систем противостоять подобным и другим атакам стал как никогда острым.
На этом фоне знаковым выглядит расширенное заседание Совета безопасности, посвященное проблеме безопасности в информационной сфере, которое прошло под руководством Президента Российской Федерации В. В. Путина 26 октября 2017 г. Открывая заседание Совбеза, Владимир Путин особо подчеркнул: «Обеспечение безопасности информационной инфраструктуры имеет стратегическое значение, прежде всего с точки зрения обороноспособности». [3]
Рассматривая развитие информационной безопасности как институт информационного права на национальном уровне, необходимо комплексно подходить к решению вопросов его законодательного регулирования и постоянного сопровождения.
Выделим следующие признаки рассматриваемого института информационного права:
‒ наличие системы норм информационного права, регулирующих совокупность однородных отношений;
‒ направленность норм на регулирование определенного порядка в информационной сфере, состояние защищенности объекта защиты — жизненно важных интересов;
‒ существование уровней информационной безопасности: личностного (субъектного); корпоративного (общественного) и общегосударственного.
Ключевым элементом информационной безопасности является объект защиты, который законодательно раскрывается через формулировку «жизненно важные интересы».
В целях эффективной защиты национальных интересов Российской Федерации принят ряд нормативных правовых актов, регулирующих вопросы безопасности, в том числе, и информационной (федеральные законы, концепции, программы, стратегии, доктрины).
Так, положениями статьи 5 Федерального закона от 28.12.2010 № 310-ФЗ «О безопасности» установлено, что правовую основу обеспечения безопасности, в том числе информационной, составляют Конституция Российской Федерации, общепризнанные принципы и нормы международного права, международные договоры Российской Федерации, федеральные конституционные законы, указанный Федеральный закон, другие федеральные законы и иные нормативные правовые акты Российской Федерации, законы и иные нормативные правовые акты субъектов Российской Федерации, органов местного самоуправления, принятые в пределах их компетенции в области безопасности. [4]
Из содержания деятельности по обеспечению безопасности государства, следует, что информационная безопасность, являясь видом национальной безопасности, в полной мере представлена в положениях Федерального закона «О безопасности», а деятельность по ее обеспечению включает в себя, наряду с прочим, правовое регулирование в области обеспечения безопасности.
Кроме того, Федеральным законом «О безопасности» определены основные принципы и содержание деятельности по обеспечению безопасности государства, общественной безопасности, экологической безопасности, безопасности личности, иных видов безопасности, предусмотренных законодательством Российской Федерации, полномочия и функции федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления в области безопасности, а также статус Совета Безопасности Российской Федерации.
Следующим нормативным правовым актом, носящим комплексный характер в области национальной безопасности, является Стратегия национальной безопасности Российской Федерации, в которой информационная безопасность уже выделяется как наиболее важная составная часть и вид национальной безопасности. [5]
Раскрывая содержание национальной безопасности Российской Федерации, необходимо под ней понимать состояние защищенности личности, общества и государства от внутренних и внешних угроз, при котором обеспечиваются реализация конституционных прав и свобод граждан Российской Федерации, достойные качество и уровень их жизни, суверенитет, независимость, государственная и территориальная целостность, устойчивое социально-экономическое развитие Российской Федерации. Национальная безопасность включает в себя оборону страны и все виды безопасности, предусмотренные Конституцией Российской Федерации и законодательством Российской Федерации, прежде всего государственную, общественную, информационную, экологическую, экономическую, транспортную, энергетическую безопасность, безопасность личности».
Не менее важным, представляется, системный подход в вопросах информационной безопасности, реализованный в Доктрине информационной безопасности Российской Федерации, которая представляет собой систему официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере. [6]
Для изучения области применения правового регулирования информационной безопасности принципиальным является вопрос четкого определения понятия «информационная сфера», которое представлено в Доктрине информационной безопасности, как совокупность информации, объектов информатизации, информационных систем, сайтов в информационно-телекоммуникационной сети «Интернет», сетей связи, информационных технологий, субъектов, деятельность которых связана с формированием и обработкой информации, развитием и использованием названных технологий, обеспечением информационной безопасности, а также совокупность механизмов регулирования соответствующих общественных отношений». Примечательным в этом определении является подход, рассматривающий в информационной сфере не только технократическую составляющую, но и область общественных отношений.
Таким образом, информационную безопасность можно рассматривать как гражданское состояние (положение) субъекта, при котором ему не угрожает опасность или существует защита от опасности.
Из сказанного следует, что информационная безопасность напрямую зависит и связана, во-первых, с защищенностью субъекта, и во-вторых с безвредностью объекта, явления или процесса информационного взаимодействия.
В содержании информационной безопасности можно условно выделить две стороны: объективную и субъективную.
Объективная сторона — это определенный законом в информационной сфере общества порядок, обеспечивающийся деятельностью специальных органов, без которых не может существовать слаженная система безопасности. Этот порядок в значительной части регулируется нормами информационного права и формируется как особая специфическая разновидность системы безопасности, приспособленная к условиям информационной сферы.
В субъективном смысле информационная безопасность состоит в выполнении субъектами информационного права определенных охранительных действий в отношении объекта охраны. Таким образом, субъективная сторона — это элемент информационного правоотношения субъекта и его обязанность соблюдать необходимые меры безопасности.
Для дальнейшего рассмотрения законодательства в информационной сфере следует обратить внимание на то, что в ряде федеральных и ведомственных нормативных правовых актах, регулирующих вопросы информационной сферы, широко используется такое понятие как «защита информации», в связи с чем, целесообразно рассмотреть соотносимость понятий информационной безопасности и защиты информации.
Так, в пункте 2 Доктрины информационной безопасности, наряду с прочими, рассматриваются такие основные понятия как:
‒ информационная безопасность Российской Федерации — состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства;
‒ обеспечение информационной безопасности — осуществление взаимоувязанных правовых, организационных, оперативно-розыскных, разведывательных, контрразведывательных, научно-технических, информационно-аналитических, кадровых, экономических и иных мер по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления.
Однако, в более узком смысле, под информационной безопасностью предлагается понимать состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера (информационных угроз, угроз информационной безопасности), которые могут нанести неприемлемый ущерб субъектам информационных отношений.
Защита информации — комплекс правовых, организационных и технических мероприятий и действий по предотвращению угроз информационной безопасности и устранению их последствий в процессе сбора, хранения, обработки и передачи информации в информационных системах. [7]
Таким образом, следует вывод, что информационная безопасность — это одна из характеристик информационной системы, т. е. информационная система на определенный момент времени обладает определенным состоянием (уровнем) защищенности, а защита информации — это процесс, который должен выполняться непрерывно на всем протяжении жизненного цикла информационной системы и направленный на поддержание информационной системы на заданном уровне защищенности, т. е. в состоянии информационной безопасности.
Для дальнейшего рассмотрения основных нормативных актов, являющихся элементами базы правового обеспечения информационной безопасности, обратимся к Федеральному закону от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Федеральный закон № 149-ФЗ).
Можно выделить три основных группы отношений, которые регулируются указанным законом:
‒ отношения, связанные с реализацией конституционного права на информацию;
‒ отношения, связанные с применением информационных технологий;
‒ отношения, связанные с обеспечением защиты информации.
Понятие защиты информации изложенное в статье 16 Федерального закона № 149-ФЗ носит общий и отсылочный характер.
Примером отношений, связанных с защитой информации о физических лицах, которые могут быть отнесены к категории персональных данных, конкретизированы Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», который разрабатывался в одном пакете с Федеральным законом № 149-ФЗ.
Весьма актуальным и своевременным в действующем законодательстве представляется принятие Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», которым урегулированы отношения в сфере обеспечения безопасности критической информационной инфраструктуры в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак призван (вступает в силу с 1 января 2018 года).
Указанный Федеральный закон является ключевым нормативно-правовым актом, регулирующим порядок создания и функционирования Государственной системы обнаружения предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). [8] Кроме того, он определяет и разделяет функции двух государственных регуляторов ФСТЭК и ФСБ, тем самым фиксирует, уже фактически сложившееся, разделение полномочий, прав и обязанностей.
ГосСОПКА является государственным аналогом Центров управления безопасностью (ситуационных центров информационной безопасности — Security Operation Center (далее — SOC). [9] Центр управления безопасности выполняет функцию обеспечения информационной безопасности в компании или сторонней организации, в которую передана на аутсорсинг IT-безопасность. Задачей функционирования SOC является обнаружение попыток несанкционированного доступа к IT-инфраструктуре компании, предотвращение попыток вторжения внутрь защищаемого периметра и управление инцидентами информационной безопасности. В рамках построения Государственной системы обнаружения предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, федеральным и региональным органам исполнительной власти, коммерческим организациями предлагается присоединиться к системе с целью совместного успешного противостояния организованным группам и сообществу киберпреступников, а также с целью обмена информацией об компьютерных атаках, инцидентах в этой области и получения рекомендаций по защите информации.
Отношения, связанные с защитой информации в государственных информационных системах, регламентируются значительным массивом подзаконных актов, принятых на уровне Постановлений Правительства Российской Федерации, актов Минкомсвязи, ФСТЭК и ФСБ. В законодательстве стран — участников СНГ реализация важного принципа информационного права — принципа обеспечения информационной безопасности закреплена в Модельном информационном кодексе стран — участников СНГ 2008 года.
Наряду с достигнутыми результатами в законотворчестве, изучение проблем правового регулирования информационной безопасности в целях выработки эффективных мер противодействия информационным угрозам находит свое отражение в работах ряда авторов. Так, в своей статье «Проблемы правового обеспечения безопасности критической информационной инфраструктуры Российской Федерации» А. А. Стрельцов рассматривает вопросы определения критически важных ресурсов инфраструктуры, их взаимосвязей и стоящих перед ним угроз, обнаружение нападений и несанкционированных вторжений, разработка разведывательного обеспечения и правовых актов по защите критических информационных систем. [10] Ряд других исследователей (В. Н. Лопатин, А. К. Жаровая) также в различное время обращались к этой теме. Основные направления повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федеральных органов исполнительной власти на основе распоряжения Правительства Российской Федерации от 27.09.2004 № 1244-р освещены в работе А. В. Короткова и его соавторов.
Завершая обзор отдельных аспектов правового регулирования информационной безопасности, следует отметить, что работа по формированию и развитию отрасли информационного права в целом и области информационной безопасности в частности, находится в центре научных поисков и разработок ряда исследователей. Результатом этой деятельности стало представление в 2013 году специалистами сектора информационного права Института государства и права Российской академии наук концепции Информационного кодекса, на основании которой продолжаются исследования, которые должны объединить и систематизировать подходы в области правового регулирования информационной сферы. [11]
Литература:
1. «Вирусы против иранского атома», Независимое военное обозрение http://nvo.ng.ru/concepts/2013–09–13/1_virusy.html;
2. Послание Президента Российской Федерации Федеральному Собранию от 01.12.2016 // Парламентская газета. 02.12.2016;
3. «Заседание совета безопасности», Официальные сетевые ресурсы Президента России, http://kremlin.ru/events/president/news/55924;
4. Федеральный закон от 28 декабря 2010 г. № 390-ФЗ (ред. от 05.10.2015) «О безопасности»;
5. Указ Президента РФ от 31.12.2015 N 683 «О Стратегии национальной безопасности Российской Федерации»;
6. Указ Президента Российской Федерации от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»;
7. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 29.07.2017) «Об информации, информационных технологиях и о защите информации»;
8. Указ Президента Российской Федерации от 15 января 2013 г. N 31с г. Москва «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
9. «Свой SOC или аутсорсинговый? А может быть государственный?», SecurityLab.ru, http://www.securitylab.ru/blog/personal/Business_without_danger/157986.php;
10. Проблемы правового обеспечения безопасности критической информационной инфраструктуры Российской Федерации, Интернет изнутри, http://internetinside.ru/problemy-pravovogo-obespecheniya-bezo/;
11. Бачило И. Л. О концепции Информационного кодекса, Телекоммуникационное право, http://www.telecomlaw.ru/articles/BachiloIL.24.05.2013.pdf;
12. Бачило И. Л. Информационное право: учебник для академического бакалавриата / И. Л. Бачило. — 5-е изд., перераб. и доп. — М.: Издательство Юрайт, 2017;
13. Рассолов И. М. Информационное право: учебник и практикум для академического бакалавриата / И. М. Рассолов. — 5-е изд., перераб. и доп. — М.: Издательство Юрайт, 2017. — 347 с.
